Vår digitale hverdag Et risikobilde i endring

Transkript

1 Nasjonal sikkerhetsmyndighet Vår digitale hverdag Et risikobilde i endring Etablert 1. januar 2003 Historikk fra 1953 Et sivilt direktorat JD KOORD FD En sektorovergripende myndighet FD er styrende departement. JD er overordnet departement i sivile sektorer Etatsstyring Ca. 140 ansatte 13% militære SIV MIL En kompetansevirksomhet Kolsås og Akershus festning Kjetil Nilsen, Direktør NSM NSM har oppgaver etter sikkerhetsloven, men har også oppgaver utover sikkerhetsloven Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 2 NSMs oppgaver Beskytte informasjon, informasjonssystemer og andre objekter som ut fra deres samfunnsmessige betydning kan være Spionasjemål Sabotasjemål Terrormål Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 4 Kjerneoppgaver NSMs oppgaver Fører tilsyn Gir informasjon, råd og veiledning Bidra til det nasjonale beredskapssystemet (NBS) Galileo Kontroll med luftfotografering og kartkonstruksjon Utvikler sikkerhetstiltak Varsler om trusler og sårbarheter mot vår nasjonale sikkerhet Gi støtte til norsk kryptoindustri Kontroll med forsvarsviktige oppfinnelser og patenter Rapport om sikkerhetstilstanden - NSM skal ha kunnskap og oversikt for å bedre sikkerhetstilstanden Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 5 Være sekretariat for Koordineringsutvalget for forebyggende informasjonssikkerhet Utøve den nasjonale CERT-funksjonen (NorCERT) Drive sertifiseringsordningen for IT-sikkerhet i produkter og Systemer (SERTIT) 1

2 IKT-risikobildet Roller Trussel Mål Aktør Offensive tiltak Defensive tiltak RISIKO = f (verdi, sårbarhet, trussel) Virksomheter Sektorer 7 Det nettverksbaserte samfunns verdier Et sårbart nettverksbasert samfunn Mengden informasjon lagret i IKT-systemene øker Myndighetsutøvelse Forsvaret Nødetater Krav til mobilitet og tilgjengelighet innebærer at data gjøres tilgjengelig på IKT-systemer tilknyttet Internett Nettverkskonvergens systemer knyttes sammen (Internett, admsystemer, styringssystemer, telekom) Globalisering (offshoring) og outsourcing. Bank & finans Telekom Kraftforsyning Transport Ofte lite ressurser, vilje og kompetanse til å prioritere forebyggende sikkerhetsarbeid Begrenset evne til å oppdage og reagere på uønskede IKThendelser, herunder social engineering Stadig mer kompleks skadevare og trusselaktører med kompetanse, ressurstilgang og evne til å skjule spor Olje/gass Vann Utstrakt vilkårlig bruk av mobile lagringsmedier Trusselaktørene En asymmetrisk trussel (fra pentagon s cyberstrategy) Kriminelle organisasjoner Individer Små grupper «A dozen determined computer programmers can, if they find a vulnerability to exploit, threaten the United States' global logistics network, steal its operational plans, blind its intelligence capabilities, or hinder its ability to deliver weapons on target. Transnasjonale grupperinger Statssponset Fremmed stat Knowing this, many militaries are developing offensive capabilities in cyberspace, and more than 100 foreign intelligence organizations are trying to break into U.S. networks. Some governments already have the capacity to disrupt elements of the U.S. information infrastructure.»

3 Antall håndterte hendelser siste 4 år De mest alvorlige hendelsene i 2010 Spionasje Informasjon lagret i IKT systemer stjeles (målrettede trojanere) Målrettede trojanere - trender De mest alvorlige hendelsene i 2010 Smugles inn som vedlegg til epost, weblink eller med USB minnepinner Utnytter ukjente sårbarheter (ofte i PDF leseren) Godt skjult etter infeksjon, opererer i lang tid på datasystemer før de oppdages Oppdages ikke av eksisterende sikkerhetsmekanismer og utnytter det svakeste ledd - sluttbrukeren Bruk av kryptering for å skjule kommunikasjon Digitalt signert skadevare Endrer virkemåte avhengig av infisert system NorCERT håndterer stadig flere hendelser i Norge 15 Spionasje Informasjon lagret i IKT systemer stjeles (målrettede trojanere) Sabotasje Tjenestenektangrep (DDoS) Angrep på industrisystemer / datastyrte fysiske prosesser (eks: Stuxnet) : NSM advarer mot sårbare industrisystemer STUXNET Første målrettede angrep på industrisystemer Trojaneren er utviklet for å påvirke industrisystemer Trojaneren stjeler SCADA designdokumenter Teknisk avansert skadevare med stort potensiale Skadeomfanget er ukjent. STUXNET representerer en ny dimensjon i IKT-risikobildet

4 Teoretisk vs. faktisk sikkerhet Kan vi si noe om den faktiske sikkerheten i et IKT-system? Inntrengningstesting er et forebyggende sikkerhetstiltak. Formålet er å Utprøve motstandskraften i informasjonssystemene Kontrollere om informasjon blir beskyttet i samsvar med gjeldende krav Teste at tekniske mekanismer oppfyller gjeldende krav Avdekke andre svakheter som gjør informasjon sårbar Inntrengningstesting, formål Bedre sikkerheten i virksomhetenes IT-systemer, eks. Retningslinjer, kunnskap og årvåkenhet ved bruk av IT Konkrete systemtekniske tiltak og endringer Drifts- og sikkerhetsmessig forvaltning av IT-systemer Direkte og indirekte støtte til arbeid med: Utvikling av nye/forbedrede sikkerhetstiltak Anbefalinger, rådgivning og veiledning Kunnskap om, og rapportering på, sikkerhetstilstanden Erfaringer fra inntrengningstesting Mange enkeltstående og gjennomgående sårbarheter Eksempler: Manglende herding Lav grad av sikkerhetskonfigurasjon Manglende, svake eller ikke fungerende sikkerhetsmekanismer, Manglende sikkerhetsoppdateringer Bruk av gammel og sårbar programvare Utilstrekkelig logging Overdreven bruk av privilegerte kontoer med høye systemrettigheter Kompleks og uoversiktlig rettighetsstyring av både brukere og maskiner Sårbarheter som kan utnyttes med beskjeden kompetanse og ressurstilgang Hva med fremtiden? Enda flere brukere, mange med lav kompetanse Enda flere systemer tilknyttes Internett Stadig flere mobile enheter (med usikker håndtering og lagring av data) Både programvare og maskinvare øker i kompleksitet Usikkerhet ift bruk av nettskyer. Legges for mange egg i samme kurv? Dataangrep er mer avanserte og samfunnet er mer sårbart. Avanserte angrep detekteres ikke av standard sikkerhetsløsninger. Alle sikkerhetspolitiske konflikter har også en cyber dimensjon. Hva bør vi gjøre? Møte et dynamisk risikobilde med robuste systemer og evne til å oppdage og håndtere hendelser Etablere et felles sikkerhetsnivå i offentlig forvaltning på grunnlag av kunnskap og forståelse av risikobildet Styrket kapasitet til inntrengningstesting Styrke evnen til varsling og rapportering av sikkerhetstruende hendelser i og mellom sektorer Videreutvikle VDI som nasjonal deteksjonskapabilitet Økt fokus på sikkerhet ved anskaffelser (security by design) Forebyggende sikkerhet må forankres i toppledelsen En Nasjonal informasjonssikkerhetsstrategi (Cybersikkerhetsstrategi) Økt fokus på arbeidet med sikkerhetskultur 24 4

5 Hva med Wikileaks? Innsider? Menneskelig adferd kan utgjøre det sterkeste, men også det svakeste ledd i en forebyggende sikkerhetstjeneste! Menneskelig adferd kan utgjøre det sterkeste, men også det svakeste ledd i en forebyggende sikkerhetstjeneste! Nasjonal sikkerhetsmyndighet Sikre f di 26 Nasjonal sikkerhetsmyndighet Sikre f di NSMs verdier Vi skal være tydelige Vi skal være samhandlende Vi skal ha integritet 27 5