Medlemmenes organisasjon

Transkript

1 6 sikkerhetskonferansen 2012 Medlemmenes organisasjon NSR skal i alt sitt arbeide ha medlemmenes interesser som førsteprioritet. Som ny direktør i NSR er jeg inne i en sonderingsfase om NSRs virke fremover. Uten medlemmene har vi ikke grunnlag for vår virksomhet. Det er derfor viktig i den startsfasen jeg nå er i å orientere meg om medlemsmassen. NSR skal i alt sitt arbeide ha medlemmene med deres behov og utfordringer innen sikkerhet og kriminalitet som førsteprioritet. Medlemmene har også et ansvar for at NSR jobber med de riktige tingene. Hva forventer medlemmene av NSR? Sentral aktør Politiet kan ikke bekjempe kriminali teten alene. NSRs arbeid med å forebygge kriminalitet i og mot nærings livet tjener ikke bare nærings livet, men bidrar også tungt til samfunnets og fellesskapets trygghet og frihet. Min viktigste oppgave i tiden fremover er derfor å styrke NSR som en sentral aktør i det kriminalitetsforebyggende arbeidet gjennom et forsterket samarbeid med politi- og sikkerhetsmyndigheter. Samarbeidet i dag skjer stort sett på strategisk nivå der NSR er knutepunkt for informasjonsutveksling og kommunikasjon mellom næringsliv og politi- og sikkerhetsmyndigheter. Gjennom det konsultative rådet, direktør møte, administrasjonen og ekspertutvalgene bidrar NSR til å heve kompetansen og belyse utfordring er på begge sider av samfunnsstrukturen. Det er i dag ikke etablert noe tilsvarende formelt forum for å utveksle operativ informasjon mellom politi og næringslivet i det kriminalitetsforebyggende arbeidet. Dette er noe NSR etterlyser. Vil styrke samarbeidet NSR har sammen med Finansnæringens Fellesorganisasjon i en lengre periode vært i samtaler med Justis- og beredskapsdepartementet om oppfølgingen av Meld. St. 7 ( ) «Kampen mot organisert kriminalitet en felles innsats», der regjeringen tar til orde for et tettere samarbeid mellom politiet og næringslivet. I brev til departementet 1. juni i år foreslo NSR følgende tiltak for å styrke samarbeidet ytterligere: Felles samarbeidsprosjekt med en varighet på fem år, herunder en årlig hospiteringsordning for politiet i NSR. Videreføring/utvidelse av NSRs årlige direktørmøte, der nærings livets og justis- og beredskaps etater samt høyere på tale myndighet møtes til fortrolige samtaler om kriminalitet i og mot næringslivet og samfunnet. NSR møter i Samordningsorganet til politiet 1-2 ganger i året. NSRs regionale næringslivsrepresentanter benyttes inn i det formaliserte samarbeidet mellom kommunale myndigheter og politiet (politirådene) med å samordne lokale kriminalitetsforebyggende tiltak (SLT). 15. juni besluttet NSR og Politidirektoratet å samarbeide om en nærmere kartlegging av dagens samarbeid mellom politiet og næringslivet. Store utfordringer Det er store utfordringer i tiden fremover med IKT-krimi nalitet og organisert vinnings kriminalitet i vekst. Ingen virksomhet eller offent lig etat kan håndtere IKTutfordring ene knyttet til sikkerhet alene. Ansvaret for datasikkerhet på myndighetssiden er i dag spredt på for mange. Det er stor usikkerhet både i næringslivet og på myndighets siden når det gjelder roller og ansvar. En overordnet nasjonal strategi må på plass. NSR har jobbet mye med informasjonssikkerhet sammen med Nasjonal sikkerhetsmyndighet og Norsk senter for informasjonssikring (NorSIS). Dette for å få informasjonssikkerhet under huden på næringslivet, og særlig lederne. Direktøren i NSR vil fortsatt være representert i styret til NorSIS. Den 13. april i år ble også en samarbeidsavtale inngått med NorSIS. Formål med avtalen er å felles styrke informasjonssikkerheten i Norge, og mot næringslivet spesielt. For å intensivere arbeide mot vinningskriminalitet har NSR nylig opprettet et kriminalitetsutvalg for varehandel, logistikk, transport og reiseliv. Deltakere i utvalget har spisskompetanse innenfor disse områdene. Hensikten er i større grad å kunne forebygge vinnings kriminalitet i og mot disse bransjene. Sikkerhetskonferansen NSRs årlige sikkerhetskonferanse har en sentral plass i opplysningsog informasjonsstrategien mot nærings livet og offentlige myndigheter. Denne utgaven av Sikkerhet

2 sikkerhetskonferansen Næringslivets Sikkerhetsråd (NSR) er en selvstendig medlems forening som fore bygger kriminalitet i og mot nærings livet. NSR er rådgivende for medlemmene innenfor fysisk-, teknisk-, og personell sikkerhet, og er næringslivets kontaktpunkt mot myndig hetene innenfor de nevnte områder. NSR har regel messige møt er med myndighetene gjennom vårt konsultative råd bestående av Politiets sikkerhets tjeneste, Politidirektoratet, Kripos, ØKOKRIM, Nasjonal sikkerhets myndighet, Tollog avgiftsdirektoratet og Direktoratet for samfunnssikkerhet og beredskap. I det konsultative rådet møter dessuten representanter for et bredt spekter av næringslivets virksomheter, LO og YS. NSR deltar i ulike myndighetsutvalg på vegne av næringslivet. NSRs administrasjon holder til på Majorstua i Oslo. Internett: E-post: nsr@nsr-org.no NSR vil styrke samarbeidet med politiet og direktøren skriver: «Politiet kan ikke bekjempe kriminali teten alene. NSRs arbeid med å forebygge krimi nalitet i og mot næringslivet tjener ikke bare nærings livet, men bidrar også tungt til samfunnets og fellesskapets trygghet og frihet.» Foto: Utrykningspolitiet er i stor grad viet til årets sikkerhetskonferanse 11. og 12. september. Hovedtema i år, som forøvrig er den 25. sikkerhetskonferansen NSR arrangerer, er IKT-krimi nalitet og informasjonssikkerhet med en gjennom gang av og kommentar er til funnene i Mørketallsundersøkelsen For øvrig om fatter programmet generelle trender og utfordringer i næringslivet hva gjeld er sikkerhet og kriminalitet. Vel møtt til Sikkerhets konferansen 2012! Kristine Beitland, direktør i Næringslivets Sikkerhetsråd Kristine Beitland Kristine Beitland begynte som direktør i NSR 22. mai i år. Hun er utdannet jurist og har 16 års er faring fra politiet elleve av årene i lederstillinger. Hun kommer fra stilling som avdelingsdirektør i Politiets utledningsenhet. Hun kjenner NSR fra tidligere som leder for seksjonen for Organisert krimi nalitet i Politi direktoratet og fast representant i det konsultative rådet. AKTUELT Hvordan beskytte egen virk somhet: februar, Oslo oktober, Oslo Hvordan håndtere en gissel- eller kidnappingssituasjon: 6. mars, Oslo NSRs Årsmøte: 7. juni, Oslo Sikkerhetskonferansen september, Oslo Mer informasjon: undersokelsen.no NSRs stiftere:

3 8 sikkerhetskonferansen 2012 Forsikrende sikkerhet Tiltak for å bedre informasjonssikkerheten ved din bedrift er en god forsikring. Av: Norsk senter for informasjonssikring (NorSIS) Tore Larsen Orderløkken, direktør i NorSIS Tenk deg at du opplever svinn på lager et eller at varer blir borte i butik ken. Svært mange bedrifter gjør noe med slike hendelser. Det etableres fysisk sikkerhet med vektere, kameraer og andre tiltak. Hva om du mister kunder i konkurranse med bedrifter som har tilgang til prislisten din, kundelisten din eller som reduserer ytelsen på nettbutikken din gjennom såkalte tjenestenektangrep. Hvor godt er du forberedt på slike hendelser? Verdifull informasjon Små og mellomstore virksom heter må innse at informasjonen deres har en verdi og må beskyttes. Viljen er der nok, men i en hektisk hverdag er ikke informasjonssikkerhet det man prioriter først, sier Tore Larsen Orderløkken, direktør i NorSIS. I mange tilfeller setter virksomheter også driften av IT til en outsourcingleveran dør og tenker at alt er i orden. Han mener ITsikkerhet dreier seg om å ha tiltak på plass. Man må ha tiltak for å ivareta hemmelighold der det er nødvendig, tiltak for å bevare integriteten i infor masjon og ikke minst tiltak for å sørge for tilgjengeligheten til informasjon, både for kunder, ansatte og leverandører. «Gjør en enkel risikovurdering og klassifiser informasjon og informasjonssystemer» Dette kommer ikke av seg selv, og det må vi være bevisste på, sier Orderløkken. Aha-opplevelse Enhver bedrift burde sette seg ned og gå igjennom egen virksomhet. Har vi hemmeligheter? Har vi personopplysninger? Har vi virksomhets kritisk informasjon som vil skade vårt omdømme hvis informasjon kommer på avveie? Slike gjennomganger behøver ikke være tidkrevende eller dyre, men vil i mange tilfeller gi bedriften en aha-opplevelse i forhold til hvor informasjonen er og hvor viktig det er at den ikke kommer på avveie. Små virksomheter Vi har full forståelse for at informasjonssikkerhet ikke er første prioritet for alle småbedriftene i Norge, men hvis man ser på skadepotensialet burde bedriftsleder, styrer og eiere sette seg noe mer inn i problematikken, mener Orderløkken. Målrettede angrep er lette å gjennomføre og kan også ramme små virksomheter. Politiets sikkerhetstjeneste og Nasjonal sikkerhets myndighet advarer i sin Tore L. Orderløkken trusselvurdering om faren for målrettede angrep og også om mulighet for industrispionasje. Skal en liten bedrift bekymre seg for dette? Selvfølgelig! Sikkerhetsarbeidet er som en forsikring om noe skulle gå galt. Ved å ha tenkt igjennom hva som kan ramme egen bedrift og å ha gjennomført enkle sikkerhetstiltak, kan man bedre stå i mot et angrep. Har man outsourcet driften, kan man også stille de riktige spørsmålene til driftsleverandøren sin, sier Orderløkken. Stadig viktigere Informasjonssikkerhet blir stadig viktigere i et samfunn der IT er

4 sikkerhetskonferansen sikkerhetsåret Enhver bedrift burde spørre seg selv om de har virksomhetskritisk informasjon som kan skade omdømmet deres hvis informasjonen kommer på avveie. Foto: Shutterstock viktig for alle bedrifter. Kunden får tilgang gjennom forskjellige mobile plattformer og applikasjoner, fjerntilgang for ansatte og leverandørtilgang gjør oss sårbare og dette må adresseres. Gjør en enkel risiko vurdering og klassifiser informasjon og informasjons systemer. Da vil du se at også de små virksomhetene har skjermings verdig informasjon og et behov for oppetid på IT-systemene, sier Orderløkken. Hendelser inntreffer: brann i server rom, tyveri av en server eller en bærbar PC, eksterne angrep eller utro ansatte som misbruker sine tilganger i IT-systemet. Du vet aldri når noe skjer. Et alvorlig samfunnsproblem Fakturabedragere og useriøse telefonselgere håver inn millioner på å villede små virksomheter og organisasjoner. Tekst: Arne Røed Simonsen, NSR asi@nsr-org.no Europa-kommisjonen har erkjent at dette er et samfunnsproblem og vurderer lovendringer for å beskytte EU-virksomheter mot denne formen for bedragerier og villedende markedsføring. Også den svenske regjeringen har sett et behov for tiltak. De stadfester at dette er et voks ende samfunns problem. Den svenske regjer - ingen uttaler at de tar dette på alvor, og har gitt økte ressurser til rettsvesen og politi for å kunne jobbe mer mål rettet mot dette. Det uttrykkes en uro, og det vurderes lovendringer for å kunne lette iretteføring av fakturabedragerier. To drap Svensk Handel og svensk politi har beregnet at faktura bedrageriene i Sverige utgjør over én milliard svenske kroner i året. I følge våre svenske kollegaer i Næringslivets Säkerhetsdelegation, har det i Sver ige også vært to drap relatert til aktører som driver med fakturabedragerier. Domfellelse I Norge har et fåtall fakturabedragerisaker vært etterforsket, «Svensk Handel og svensk politi har beregnet at fakturabedrageriene i Sverige utgjør over én milliard svenske kroner i året» og enda færre ført for domstolene. De som har vært ført for domstolene har endt med domfellelse. To saker har også vært i Høyeste rett, den siste i I saken fra 2009 hadde aktøren fått inn over én million kroner på sine aktiviteter. Sivilrettslige saker I 2007 ble det tatt ut siktelse mot seks personer ved Vestfold politidistrikt for fakturabedragerier. I siktelsen går det frem at de har svindlet til seg i cirka 25 millioner kroner på denne bedrageriformen. Det har også vært flere sivilrettslige saker knyttet til useriøse telefonselgere mot virksomheter. Disse sakene er kommet til overflaten takket være virksomheter med vilje og ressurser til å stå opp mot bedragere og u seriøse virksomheter. Ressurskrevende Slik det norske straffesaks registeret er bygget opp, er det vanskelig å ta ut en anmeldelsesstatistikk på fakturabedragerier. NSR tror heller ikke mange norske bedrifter ser nytten av å anmelde denne type saker. Hver faktura er oftest under kroner, og det er også ressurskrevende for en bedrift å inngi en anmeldelse. Bedriftene erfarer også at påtalemyndighetens praksis ofte er å henlegge disse sakene av kapasitetshensyn hos politiet. Les resten av artikkelen på nsr-org.no

5 10 sikkerhetskonferansen 2012 Vokt deg for pirater Robot-nettverk er den største trusselen på dagens internett. Skrevet av Ole Tom Seierstad, Chief Security Advisor, Microsoft Norge Du har helt sikkert fått den e posten som skal gjøre deg ufattelig rik, uten at du trenger å gjøre annet enn å gi fra deg litt personlig informasjon og kontonummer. Eller du har surfet på nettet og fått beskjed om at din datamaskin er infisert av virus og at du kan betale ekstra for å få utført opprensningen på din PC. Slike eposter og websider blir stadig vanligere, så selv om vi har verktøy som hjelper oss mot kodeog svindelforsøk, så fortsetter de kriminelle med stadig nye metoder for å infisere dataen din. Botnett viktig verktøy Ønske om vinning får de kriminelle til å fortsette med sine aktiviteter, og en av de viktigste metodene er å opprette og administrere botnett (Robot Network). Et botnett er en samling av datamaskiner som er infisert med programvare for fjernstyring, og et botnett kan variere fra noen tusen til flere millioner infiserte maskiner. De kriminelle kan leie ut infiserte maskiner og fjernstyre disse til å begå kriminelle handlinger. De handlingene som en kriminell kan gjøre med et botnett er mange. Fra annonsesvindel (PC-en registrerer klikk på en annonse, selv om du ikke har klikket på denne, og annonsøren får betalt) til tjenestenekt angrep (DDoS) på web- tjenere. Angrep på blant annet norske medie hus og Norsk Tipping er noe vi har sett de siste månedene. DDoS er fjernstyrte maskiner i botnettet som sender internett-trafikk helt til webtjeneren stopper opp på grunn av overbelastning. ID-tyveri Eposten du mottar fra en enke i et afrikansk land med lovnad om store pengesummer som skal overføres, er også ofte sendt ut av maskiner i et botnett. Et botnett er også et effektivt verktøy for ID-tyveri. De kriminelle kan utgi seg for å være deg og få utstedt nye kredittkort i ditt navn. ID-tyveri brukes også i målrettede angrep mot bedrifter, og det er da spesielt ledelsen som er målet. I hend elser omkring industri spionasje og økonomisk svindel brukes ID-tyveri i stor grad. Bakmennene må stoppes Når botnett er et såpass stort problem på dagens internett, må det gjøres nasjonale og inter nasjonale tiltak for å stoppe og finne bakmennene og få renset opp på maskin ene som er infisert slik at de ikke lenger er ufrivillige deltagere i et kriminelt nettverk. Microsoft har i flere år arbeidet aktivt gjennom sin avdeling Digital Crimes Unit for å begrense utbredelsen av og bekjempelse av botnett. Prosjektet MARS (Microsoft Active Response for Security) ble etablert for noen år siden og har oppnådd gode resultater, selv om det er mye arbeid igjen før vi har et trygt og sikkert internett. Her er noen av aksjonene Microsoft har gjennomført: Hacking gjennom botnett: aktiv handling annet nettverk Eliminering av Kelihos-botnettet september Microsoft tok sammen med partnere ned nett verket Kelihos, som besto av omtrent maskiner og ble primært brukt til å sende ut søppel- minnepinner Dataen din blir hacket gjennom din egen aktiv handling (klikker på koblinger) 45 %, via USB 26 %, via nettverk 17 % og annet 12 %. Illu: Ingeborg Altern Vedal Eliminering av Waladac-botnettet februar Microsoft identifiserte 277 domener som ble brukt til å styre Waladac-nettet, og fikk rettens godkjenning til å fjerne disse som ble brukt som kontroll sentere. Det førte til at infiserte maskiner mistet kontakt med fjernstyringsprogramvaren og ikke leng er var aktive. Eliminering av Rustock-botnettet mars I samarbeid med politi i flere land ble det tatt initiativ til å stenge ned botnettet Rustock som besto av omtrent 1 million infiserte maskiner og ble styrt av syv kontrollsentere. Et slikt botnett har kapasitet til å sende ut 30 milliarder eposter i døgnet og sto for en stor del av søppelposten i verden. Microsoft lovet også en dusør på dollar for informasjon som fører til at bakmennene blir arrestert og dømt.

6 sikkerhetskonferansen Du bør beskytte maskinen din mot botnett. Mer informasjon om Digital Crimes Unit finner du på Microsoft.no. Her finner du også flere verktøy som renser opp maskinen om du har mistanke om at den er infisert. Illu: Ingeborg Altern Vedal post. Dette var også første gang navngitte personer ble anmeldt for å kontrollere et botnett. Bevisstgjøring Et viktig tiltak for å unngå at maskin en din blir en del av et botnett, er og ikke bli smittet av en ondsinnet kode som rekrutterer maskinen til et kriminelt nettverk. Omtrent 45 prosent av infeksjon ene skyldes aktiv handlinger fra brukerens side, enten det er å klikke på koblinger i meldinger/eposter, åpne infiserte vedlegg eller at en webside som besøkes er infisert. En annen ting man kan gjøre er å holde all programvare oppdatert til enhver tid. Dette gjelder operativsystem, produktivitetsprogrammer samt Java og Flash. Oppdatert antivirus og gode søppelpost-filtre på epost er også viktige tiltak. Bevisstgjøring og opplæring er de viktigste hjelpemidlene vi har for å unngå å bli en del av botnettverk.

7 12 sikkerhetskonferansen 2012 Omfattende risiko Historien om risiko starter med spillegalskap og ender opp med kriminalitetsbekjempelse. Skrevet av Roy Stranden, CPP, CISM Vi kan spore den første metoden for risikoanalyse helt tilbake til 1500-tallet. Girolamo Cardano ( ), en matematiker, fysiker, astrolog og ikke minst gambler, var sannsynligvis den første til å kalkulere fordeler og ulemper av en fremtidig hendelse. I terningspill skilte han blant annet mellom sannsynlighet og odds. I sin bok Liber de Ludo Aleae (Boka om lykkespill) (1576) tar han ikke bare for seg sannsynlighet, men har også med en seksjon om effektive måter å jukse på. To leire Det var imidlertid ikke før munkene Père Antoine Arnauld og Père Pierre Nicole fant ut at sannsynlighetsberegning kunne støtte beslutninger om fremtidige handlinger at ting tok fart. I 1662 utga de boken La logique, ou L art de penser: contenant, outre les regles communes, plusieurs observations nouvelles, propres a former le jugement (Logikk, eller kunsten å tenke). Munkene var også sannsynligvis de første som tenkte på risiko som en indeks for å presentere vår frykt for tap, utenom å tape penger i terningspill. Deres tanker skulle få store konsekvenser for hvordan vi forholder oss til, og forstår, risiko i dag. På 1700-tallet delte teoriene seg i to leire. Den ene innen gambling så på risiko som et uttrykk for det forventede økonomiske tapet om spillet skulle slå feil, mens innen beslutnings teori er risiko en indeks på frykt. Risikotenkning rundt drift Disse tankene følger så den filosofiske og vitenskapelige utviklingen i verden. Nye måleinstrumenter og tanker er med på å utvikle fagområdet helt til vi i Norge finner olje i Nordsjøen. Når olje eventyret i Norge starter er det kanskje ikke så mange som tenker på risiko, men etter noen store ulykker og nesten uhell begynnes det å forsk es på hvordan vi skal unngå slike uønskede hend elser. Dette skap er handling og ulike universitets miljø i Norge, med NTNU i spissen, leder an i å etablere risikobasert tenkning rundt design og drift av farlige prosesser. Intensjon og kapasitet Innenfor vårt lille fagfelt så var det flere og flere som tok til orde for å bruke den samme tilnærmingen innenfor forebygging av uhell og katastrofer i storindustrien, til også å forutse og håndtere kriminelle handlinger. Selv om mye var likt så var det likevel store forskjeller. En av de mest sentrale forskjellene var at frekvens eller sannsynlighets beregning ikke alltid er like hensikts messig når man skal vurdere trussel aktører.

8 sikkerhetskonferansen Standarder innenfor risiko for kriminelle handlinger Å beregne hendelser som terrorhandlingene 22. juli 2011 blir svært vanskelig og uforståelig med tradisjonelle metoder. Bildet er tatt i Akersgata ved VG-huset kort tid etter at bomben i regjeringskvartalet gikk av. Foto: Arne Røed Simonsen/NSR Sentrale temaer som intensjon, kapa sitet og etterretning fantes ikke i den ulykkesfokuserte risikotil nærmingen. Mye endrer seg når vi står ovenfor aktør er som bevisst omgår sikringstiltak og viser stor vilje til å gjennomføre det de har satt seg fore. Å beregne hendelser som terrorhandlingene 22. juli 2011 blir svært vanskelig og uforståelig med tradisjonelle metoder. Vi trenger nye verktøy og vi er på god vei. Noen ildsjeler har nemlig startet arbeidet med å videreutvikle faget vårt på dette området. Vi har blant annet forankret nye tanker innen ris iko for kriminelle handlinger med sentrale teorier innenfor fagom rådet kriminologi og etterretning. Risiko-standarder Vi har allerede utgitt den første i en serie av standarder innenfor risiko for kriminelle og andre uønskede handlinger. Standarden omhandler terminologi innenfor vårt fagfelt. Jeg la merke til at 22. juli-kommisjonen ikke hadde lagt denne til grunn i sin rapport, men det håper jeg var fordi den ikke ennå er tilstrekkelig kjent i ulike fagmiljø. Standarden ble tross alt ikke utgitt før 1. juni En av konklusjonene til kommisjonen er mangel på forståelse og erkjennelse av risiko. Jeg håper og tror SN/K 296 er en komité etablert av Standard Norge. Denne komiteen har etablert en arbeids gruppe som har startet flere prosjekter som skal lede frem til nye standarder innenfor forståelse og håndtering av risiko for kriminelle og andre uønskede handlinger. Disse er: NS 5830 Samfunnssikkerhet Beskyttelse mot tilsiktede u ønskede handlinger Terminologi (Utgitt) prns 5831 Samfunnssikkerhet Beskyttelse mot tilsiktede u ønskede handlinger Risikohåndtering (under utarbeidelse) prns 5832 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Risikoanalyse (under utarbeidelse) prns 5833 Samfunnssikkerhet Beskyttelse mot tilsiktede uønsk ede handlinger Verifikasjon (ikke påbegynt) Deltakerne i prosjektene representerer virksomhetene Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste, Forsvarsbygg Futura, Næringslivets sikkerhetsråd, Statoil, Standard Norge og Ernst & Young. at denne nye serien av standarder som dekker områdene terminologi, risikohåndtering, risikoanalyse og verifikasjon vil være et viktig verktøy for å nettopp lukke dette gapet som kommisjonen peker på. Det som en gang startet med spill kan vise seg å bli en svært sentral brikke i å bidra til at vi klarer å balan sere to «ytterpunkter» i det norske samfunn ønsket om åpenhet/tilgjengelighet og sikkerhet. Med de nye verktøyene tror jeg vi skal klare det. Tiden vil vise.