Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019
|
|
- Birgitte Borgen
- 5 år siden
- Visninger:
Transkript
1 Sikkerhetshendelse hos Kartverket i 2017 Oppfølging på kort og lang sikt Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019
2 Status IT infrastruktur Lagringskapasitet i TB Antall servere Linux Windows 10 PB = TB = GB
3 Kort om hendelsen oktober 2017 Sikkerhetstruende hendelse En alvorlig sikkerhetstruende hendelse varslet 13. oktober 2017 Antatt (99%) angrepsvektor via hull i standard programvare Godt samarbeid med NorCert gjennom VDI PST og andre deler av NSM også involvert Strakstiltak som ble gjennomført: Analyse av angrepet server foretatt hos NorCert Kartverket analyserte datainnhold på angrepet server (integritet) Ingen kompromitterte data Bytte av passord på alle servere i DMZ Infiserte servere slettet og tjenestene produksjonssatt på nye VMer Tiltaksliste for videre oppfølging ble etablert Er fulgt opp av driftsledere og IT-sjef utvikling hver uke i hele 2018 Forsøk på cryptomining i januar ble stoppet som følge av gjennomførte tiltak
4 Tiltaksliste etter hendelse hovedområder med totalt 40 større og mindre tiltak 15 tiltak med prioritet 1 hvorav 10 tiltak ble lukket før påske 2018 På de resterende 5 tiltak er det utført kortsiktige tiltak og det jobbes med tiltak i et lengre perspektiv. Eksempel på prioritet 1 tiltak: Mikrosegmentering av miljøene Soneoppdeling av DMZ Strammere rutiner og automatikk for patching av applikasjoner Sårbarhetsskanning, Nessus er anskaffet og benyttes jevnlig F-secure på alle servere Tiltakslisten ble lukket i Større tiltak som medfører løpende arbeid følges opp ukentlig av lederteam på drift
5 Tiltaksliste etter hendelse - 2 I tillegg innholdt tiltakslisten en del allerede planlagte oppgaver for å få fokus på disse 18 mindre tiltak fra en tidligere PEN-test 4 tiltak relatert til utvikling Eksempel på andre tiltak på listen Teknisk sikkerhetsteam ledet av systemsikkerhetsansvarlig, møte hver uke 2-faktor pålogging; VPN, HorizonView og applikasjoner Soneinndeling på infrastrukturen internt Strengere regime for administrative passord på servere (LAPS) Automatisk sikkerhetstesting av programvare, OWASP Ny gjennomgang og oppdatering av prosedyrer, rutiner og ROS-analyse
6 Wake-up call for Kartverkets ledelse!!! Hva var status på vår operasjonelle digitale sikring muligheter for flere sårbarheter? Hadde vi tilstrekkelig strukturell, systematisk og operasjonell digital sikring i tråd med etablerte standarder og anbefalinger? Hvor bør vi være komme? Og hvordan? Hva gjorde vi? Hva har skjedd videre?
7 Sikkerhetsmål Kartverket skal etablere et IT sikkerhetsnivå som vil håndtere angrep fra statlige trussel aktører For å sikre informasjonsverdiene mot denne typen trussel aktører er det nødvendig med en systematisk, helhetlig og risikobasert tilnærming til sikkerhetsarbeidet. Det innebærer videre å etablere tiltak for å kunne forhindre hendelser, men også oppdage og respondere på hendelser som inntreffer.
8 Veien videre 3- årig program Programmet setter Kartverket i førersetet for vårt videre arbeid med cybersikkerhet Etablering av et treårig helhetlig program for planmessig å nå dette høye ambisjonsnivået (NIST nivå 4) Sikre at også andre parallelle aktiviteter samordnes godt med dette programmet
9 9 Sikkerhetsevaluering av Kartverket 2018 Steg 1: Forretningsprofilering Steg 2: Trusselvurdering Steg 3: Måle nåværende modenhetsnivå for cyber sikkerhet Steg 4: Definere ønsket modenhetsnivå, utvikle strategisk plan med aktiviteter, og RFP Definere ønsket modenhetsnivå Utvikle strategisk plan med aktiviteter for å lukke gap mellom foreløpig og ønskelig modenhetsnivå Forslag til sikkerhetsorganisasjon Liste opp forslag til RFP (Requirements for proposal) Erfaringstall tilsier at vi må bruke % av årlig IT-budsjett de neste tre årene for å møte denne sikkerhetsambisjonen NIST National Institute for Standards and Technology
10 Handlingsplan Oversikt over del-prosjekter Handlingsplanen og dens del-prosjekter bygger på eksisterende planer og tiltak. Som tidligere beskrevet er forbedringsbehovet stort og vil kreve tilgang på vesentlige midler. Basert på tilsvarende forhold i andre virksomheter ser vi at nødvendige tiltak kan komme til å beløpe seg på flere titalls millioner og innsatsen må gjennomføres over flere år. Del-prosjekt Formål Påvirker i hovedsak DP0: Etablering og koordinering Formålet med delprosjektet er å sørge for en effektiv oppstart av håndtering av handlingsplanen, samt god kontroll på gjennomføringen av de ulike del-prosjektene. Dette omfatter kostnadsestimering og utarbeidelse av mandater for del-prosjektene, samt sørge for at del-prosjektene er i stand til å designe, detaljplanlegge og forbedre opprinnelige estimater. Del-prosjektet vil følge opp og rapportere til ledelsen på tid, kost, kvalitet, risiko og måloppnåelse. DP1: Styringsmodell og sikkerhetspolicy DP2: Risikostyring Formålet med delprosjektet er å integrere sikkerhetsarbeidet i den daglige driften. Dette inkluderer å definere og etablere roller og ansvar, samt nødvendige retningslinjer og kontrollmekanismer. Del-prosjektet vil også bidra med å gi ytterligere innsikt i hvilke områder innen sikkerhet som Kartverket må fokusere på. Formålet med delprosjektet er å forbedre eksisterende prosess for å gi risikoeiere og andre beslutningstakere nødvendig informasjonsgrunnlag for å kunne ta beslutninger relatert til Cyber-sikkerhet på et operativt og strategisk nivå. Del-prosjektet vil således sørge for å gi kontinuerlig innsikt på hvilke områder innen sikkerhet som Kartverket må fokusere på ved å måle og rapportere på den faktiske situasjonen i organisasjonen. Del-prosjektet innebefatter også å gjennomføre utestående risikovurderinger og ROS-analyser. DP3: Sikkerhetskultur og opplæring Formålet med delprosjektet er å bygge nødvendig kompetanse og en sikkerhetskultur som sørger for ønsket adferd blant ledere, ansatte og tredjepartsleverandører. Dette vil redusere sannsynligheten for vellykkede angrep, samt forbedre responstiden på faktiske hendelser. DP4: System- og applikasjonssikkerhet Formålet med delprosjektet er å sørge for at systemer og nettverkskomponenter er sikret i tråd med definert krav. DP5: Nettverkssikkerhet Formålet med delprosjektet er å sikre nettverkene ved å implementere referanserammeverket for infrastruktursikkerhet. Del-prosjektet er en videreføring av eksisterende arbeid. DP6: Tilgangsstyring Formålet med delprosjektet er å sørge for at prinsippet om least privilege oppfylles, samt redusere sannsynligheten for uautorisert tilgang. Del-prosjektet er en videreføring av eksisterende arbeid. DP7: Oppdage og respondere Formålet med delprosjektet er å få på plass prosesser, teknologi og kompetanse for innsamling og analyse av informasjon med hensikt å få oversikt over trusselbilde, proaktivt oppdage og korrigere sårbarheter samt oppdage og håndtere konkrete angrep. Organisasjonen og ansatte Prosesser og prosedyrer Verktøy og teknologi
11 Hovedpunkter Kartverkets data er viktige for samfunnet og høy grad av sikkerhet er viktig IT-sikkerheten i Kartverket er IKKE dårlig Ut fra riktig sikkerhetsnivå er det pekt på til dels store avvik som må lukkes Kartverket sitter nå i førersetet og har definert sikkerhetsnivået ut i fra eget ambisjonsnivå
Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019
Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019 Myndighetsansvar Foto: Stortinget Nasjonal kartmyndighet Tinglysingsmyndighet Matrikkelmyndighet
DetaljerAngrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening
Angrepet mot Helse Sør-Øst Norsk sykehus- og helsetjenesteforening 2019-06-06 Om Helse Sør-Øst Helse Sør-Øst består av elleve helseforetak, hvorav ni leverer pasientbehandling Helseregionen leverer spesialisthelsetjenester
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerInformasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13
Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig
DetaljerNorCERT IKT-risikobildet
5/2/13 NorCERT IKT-risikobildet Aktuelle dataangrep som rammer norske virksomheter Torgeir Vidnes NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Torgeir.Vidnes@nsm.stat.no 1 Faksimile: www.aftenposten.no
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerNASJONAL SIKKERHETSMYNDIGHET
OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden
DetaljerSaksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 7. februar 2018 SAK NR 010-2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017 Forslag til vedtak: 1. Styret tar saken
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerErfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet
Erfaringer fra tilsyn Helge Rager Furuseth Nasjonal sikkerhetsmyndighet 1 Mål for NSMs tilsyn Pådriver for bedret sikkerhetstilstand Kontrollere overholdelse av plikter Bidra til å finne forbedringspunkter
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerDIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING
DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING Fagutvalg for informasjonssikkerhet Møte 5 2019-05-15 Agenda SAK 1 HANDLINGSPLAN FOR DIGITALISERING: VEIEN VIDERE Handlingsplan
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerDirektiv Krav til sikkerhetsstyring i Forsvaret
Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerOm respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):
Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerMEDISINSK UTSTYR OG DIGITALE SÅRBARHETER
MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER Bergen, september 2017 ved HelseCERT HELSECERT ER HELSE- OG OMSORGSSEKTORENS NASJONALE SENTER FOR INFORMASJONSSIKKERHET HELSECERTS OPPGAVE ER Å ØKE SEKTORENS EVNE
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerHva er sikkerhet for deg?
Sikkerhet Hva er sikkerhet for deg? Foto: Rune Kilden Foto: Øystein Grue Bane NORs sikkerhetspolitikk Bane NOR arbeider systematisk for kontinuerlig forbedring av sikkerheten, for å unngå skade på menneske,
DetaljerPersonvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?
Personalledernettverket Trøndelag Ørland 22.-23.8. 2018 Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla? En enkel prosessplan (nov 2017) Enkelhet, helhetlig og synergier:
DetaljerErfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen
Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014 Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk.
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerBESKYTT FORRETNINGENE UANSETT HVOR DE ER. Protection Service for Business
BESKYTT FORRETNINGENE UANSETT HVOR DE ER Protection Service for Business DET ER EN MOBIL VERDEN I dag bruker vi flere enheter over flere nettforbindelser enn noensinne. Å kunne velge når, hvor og hvordan
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerPolicy for Antihvitvask
Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,
DetaljerHva betyr «Just-in-time» privileger for driftspersonalet?
Hva betyr «Just-in-time» privileger for driftspersonalet? Sivilingeniør Imran Mushtaq har vært involvert i prosjekter med meget høy grad av teknisk kompleksitet som krever lang erfaring og dyp kompetanse
DetaljerRISIKO OG CYBERSIKKERHET
RISIKO OG CYBERSIKKERHET Verdens kvalitetsdag 2018 Oslo, 8 november 2018 Fagdirektør Roar Thon TILFELDIG MÅLRETTET FORDI DET ER MULIG Klipp: NSM IKT RISIKO 2018/Bilde: Colourbox Fra NSMs IKT Risikobilde
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerSikkerhetstenking i vannbransjen noen innledende bemerkninger
1 Sikkerhetstenking i vannbransjen noen innledende bemerkninger Ø Vann i springen en selvfølge! Ø Hovedplaner for vannforsyning med hovedmål SIKKER VANNFORSYNING Ø Stor fokus de senere år både knyttet
DetaljerVELKOMMEN TIL BRANSJEN FOR CYBERSIKKERHET. Protection Service for Business
VELKOMMEN TIL BRANSJEN FOR CYBERSIKKERHET Protection Service for Business DIN FORRETNINGS- MULIGHET Wi-Fi Fotgjenger I dag bruker kundene dine flere enheter og er tilkoblet flere steder enn noen gang.
DetaljerSikkerhetsstrategi for norsk vannsektor
1 Sikkerhetsstrategi for norsk vannsektor Sikkerhetstenking i vannsektoren noen innledende bemerkninger Vann i springen en selvfølge! Hovedplaner for vannforsyning med hovedmål SIKKER VANNFORSYNING Stor
DetaljerDet digitale trusselbildet Sårbarheter og tiltak
H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer
DetaljerSpørreundersøkelse om informasjonssikkerhet
Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i
DetaljerHAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE
HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE Signe Astrup Arnesen Sikkerhetsdirektør Avinor Sikkerhetsseminar Statens jernbanetilsyn 7. november 2012 Avinor 46 lufthavner 3 kontrollsentraler
DetaljerSPISSKOMPETANSE GIR BEDRE INTERNREVISJON
30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.
DetaljerSENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE
SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE John Bothner & Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE 1
DetaljerIT-sikkerhet en praktisk tilnærming. Gardemoen
IT-sikkerhet en praktisk tilnærming Gardemoen 29.03.2017 Dagens agenda Kort om Rejlers Embriq Trender og dagens trusselbilde Organisering av sikkerhetsarbeidet Tekniske løsninger Oppsummering: 10 tips
DetaljerIKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen. Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet pentest@nsm.stat.no
IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet pentest@nsm.stat.no Sikkerhetskonferansen 2014 Hvem og hva er vi? Seksjon for inntrengingstesting
DetaljerSTYRKEN I ENKELHET. Business Suite
STYRKEN I ENKELHET Business Suite TRUSSELEN ER REEL Nettbaserte trusler mot virksomheten din er reele uansett hva du driver med. Hvis du har data eller penger, er du et mål. Antall sikkerhetshendelser
DetaljerHva kan vi gjøre med det da?
TLP:AMBER Hackere og andre digitale trusler Hva kan vi gjøre med det da? Årskonferansen 2018 KS Bedrift Arthur Gjengstø Direktør BDO Sikkerhet og beredskap BDO Analyse og utredning Mobil 481 27 498, mail
DetaljerTRUSLER, TRENDER OG FAKTISKE HENDELSER
TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1 AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan
DetaljerHENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET
HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? SLIDE 1 AGENDA! NSM NorCERT: Hvem er vi?! Trusler og trender: Hva ser vi?! Faktiske hendelser: Hva skjer?! Hendelseshåndtering: Hva gjør vi?! Tiltak:
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerCYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT
CYBER-TRUSSELEN Finans Norge seminar om operasjonell risiko 5. September 2017 Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT Nå utvides FinansCERT til å dekke hele norden Avtale
DetaljerDropbox' reise til GDPRsamsvar
Dropbox' reise til GDPRsamsvar Dropbox' reise til GDPR-samsvar 2 Introduksjon Personvernforordningen (GDPR) en forordning fra Den europeiske union som harmoniserer rammeverket for håndtering av personopplysninger
DetaljerRISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET
RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerGuri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET
Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens
DetaljerGode råd til sikkerhetsansvarlige
Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet
DetaljerNotat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???
Notat om risikostyring: Prosessen & foreløpige resultat Fagdag Sikring 15/5-2018 Bjørnar Heide, Ptil Relevant for sikring??? Notatet blir ferdig i juni Presenteres Sikkerhetsforum 15/6 Regelverksforum
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerSammenligning av ledelsesstandarder for risiko
Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell
DetaljerStrategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune
Strategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune Godkjent av fylkesrådmannen i Rogaland fylkeskommune 24. september 2012 Versjon 1.2 1 Innledning RFK ønsker å ha en kultur der systematisk
DetaljerNASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet
NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS Gardermoen, 27. september 2017 Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet Illustrasjon: colorbox.no OM NSM Historikk tilbake til 1943 Etablert som NSM i 2003
DetaljerBrudd på personopplysningssikkerheten
Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
Detaljer1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.
Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede
DetaljerInternkontroll i Gjerdrum kommune
Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet
DetaljerNSM NorCERT og IKT risikobildet
NSM NorCERT og IKT risikobildet NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda! Om NSM og NorCERT! Om samarbeidet mellom EOS-tjenestene! Om IKT-truslene!
DetaljerStyret Sykehuspartner HF 2. mai 2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 2. mai 2018 SAK NR 035-2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN Forslag til vedtak:
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerFORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM
FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Nasjonal sikkerhetsmåned 2014 Stavanger, 2. oktober 2014 Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet 1 SLIDE 2 VIDEOKLIPP FRA NRK.NO «Det er en utfordring
DetaljerAgenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.
Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva
DetaljerGÅRSDAGENS TEKNOLOGI
VI PRØVER Å STOPPE MORGENDAGENS ANGREP MED GÅRSDAGENS TEKNOLOGI Energidagene 2016 Even Sverdrup Augdal Head of Network Security Analysis Phone: (+47) 991 59 607 Email: even@mnemonic.no Vi prøver å stoppe
DetaljerOrientering om etablering av program Mobil digital klinisk arbeidsflyt (MoDI)
Møtedato: 4. oktober 2018 Arkiv nr. Saksbehandler Dato 2018/305-6 Eva K. Lyshoel, tlf. 97738702 Tromsø, 27.september 2018 Styresak 053-2018 Orientering om etablering av program Mobil digital klinisk arbeidsflyt
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerHvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund
Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser
DetaljerTest og kvalitet To gode naboer. Børge Brynlund
Test og kvalitet To gode naboer Børge Brynlund To gode naboer som egentlig er tre Kvalitetssikring, kvalitetskontroll og testing Kvalitet I Betydningen Kvalitet er den viktigste faktoren for å avlede langsiktig
DetaljerSikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres
Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres Arne Tjemsland Chefkonsulent Secode Norge arne.tjemsland@secode.com +47 99282916 1 Bakgrunn Mørketallsundersøkelsen (Norge),
DetaljerTesting av intern IT-sikkerhet
Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til
DetaljerHELSE MIDT-NORGE RHELSEFORETAK STYRET
Org.nr. 98 68 776 HELSE MIDT-NORGE RHELSEFORETAK STYRET Styresak 0/7 Risikovurdering Gjennomføringsevne e-helseporteføljen Saksbehandler Ansvarlig direktør Saksmappe /7 Dag Hårstad/Åsmund Kjeldstad Lie
DetaljerReferansearkitektur sikkerhet
NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?
DetaljerDET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD. Jon Røstum, sjefstrateg Powel
DET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD Jon Røstum, sjefstrateg Powel Hvem av dere er det som jobber med informasjonssikkerhet til daglig? HAR DERE HØRT
DetaljerPlanlegging av sikkerhetsmåneden i SSB. Tore Eig, sikkerhetsrådgiver
Planlegging av sikkerhetsmåneden i SSB Tore Eig, sikkerhetsrådgiver 1 Kort om SSB Statlig virksomhet med ansvar for innsamling, bearbeiding og formidling av statistikk Omtrent 350 statistikker Omtrent
DetaljerHELSE MIDT-NORGE RHF STYRET
HELSE MIDT-NORGE RHF STYRET Sak 24/14 Orienteringssaker Vedlegg Strategi 2020 Operasjonalisering gjennom programmer Saksbehandler Ansvarlig direktør Mette Nilstad Saksmappe 2014/12 Ingerid Gunnerød Dato
DetaljerStyresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon
Møtedato: 14. desember 2016 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen, 75 51 29 00 Bodø, 2.12.2016 Styresak 157-2016/4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2015
DetaljerRevisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler
Sak 90-2017 Saksfremlegg til styret i Sykehusinnkjøp Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler Møtedato: Tidligere behandlet i styret/saksnr. Type sak (orienteringssak,
DetaljerGjennomføring av sikringsrisikoanalyser og iverksetting av tiltak
Sikring en naturlig del av virksomhetens risikostyring? Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Anne Egeli, Sikkerhetsrådgiver 17/11/2016 Hvem er vi? Safetec er en ledende tilbyder
DetaljerProblemfri IT for bedrifter som ikke får ligge nede.
IT Online Problemfri IT for bedrifter som ikke får ligge nede. Hvis du skal nå dine bedriftsmål, må du kunne stole på at effektiviteten ikke forstyrres av kompliserte prosedyrer, systemer eller applikasjoner
DetaljerFremtidig økonomifunksjon Sykehusinnkjøp HF
Sak 12/2018 Saksfremlegg til styret i Sykehusinnkjøp HF Fremtidig økonomifunksjon Sykehusinnkjøp HF Møtedato: Tidligere behandlet i styret/saksnr. Type sak (orienteringssak, diskusjonssak, beslutningssak,
DetaljerStyret Sykehuspartner HF 21. mars 2018 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 21. mars 2018 SAK NR 023-2018 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017 Forslag til vedtak: 1. Styret tar status
DetaljerStatens standardavtaler Avtaler og veiledninger om IT-anskaffelser
BILAG 1 Statens standardavtaler Avtaler og veiledninger om IT-anskaffelser Driftsavtalen - MIL.NO Avtale om kjøp av driftstjenester knyttet til maskinvare, infrastruktur og programvare Bilag 1 Forsvarets
DetaljerTrusler, trender og tiltak 2009
Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne
DetaljerHåkon Olsen Overingeniør Lloyd s Register Consulting
Håkon Olsen Overingeniør Lloyd s Register Consulting Hvordan skal jeg forholde meg til trusler fra cyberspace? Working together for a safer world Cybersikkerhet blåser det opp til storm? Cybersikkerhet
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerSaksbehandler: virksomhetsleder Hege Brænna. Digitaliseringsstrategi
Arkivsaksnr.: 17/1162 Lnr.: 9531/17 Ark.: Saksbehandler: virksomhetsleder Hege Brænna Digitaliseringsstrategi 2017-2021 Rådmannens innstilling: 1. Digitaliseringsstrategien for Lunner kommune vedtas og
DetaljerFORPROSJEKT BACHELOROPPGAVE 2018 KATRINE ALMÅS GINELLE ZAPANTA IGNACIO CHRISTINE LANGELO LIEN FREDRIK NODLAND
FORPROSJEKT BACHELOROPPGAVE 2018 KATRINE ALMÅS GINELLE ZAPANTA IGNACIO CHRISTINE LANGELO LIEN FREDRIK NODLAND INNHOLD Presentasjon 3 Oppgave 3 Medlemmer 3 Oppdragsgiver 3 Kontaktpersoner 3 Veileder 3 Sammendrag
Detaljer