Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Transkript

1 Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Christian Meyer Norsk senter for informasjonssikring

2 Bevisstgjør om trusler Opplyser om tiltak Påvirker til gode holdninger «Dataverdens Trygg Trafikk» Vår visjon er at informasjonssikkerhet skal bli en naturlig del av hverdagen

3

4 Nasjonal sikkerhetsmåned 2014 HVORFOR TRENGER VI OPPLÆRING I INFORMASJONSSIKKERHET?

5 Hvorfor vil noen angripe meg? Basert på: Value of a hacked PC Nasjonal Sikkerhetsmåned 2014

6 Trusselbildet Nasjonal Sikkerhetsmåned 2014

7 Trusselbildet Nasjonal Sikkerhetsmåned 2014

8 Dagens trusselbilde Sosial manipulering brukeren blir lurt.. - På alle måter Sårbare mobile platformer Follow the money Angriperene går etter sårbarheter i populære applikasjoner Enkle verktøy opplæring via YouTube Informasjon er salgsvare Målrettede angrep STORE PENGER Liten fare for straff

9 Trusselbilde Det kan være deg! Offeret Alle bedrifter kan bli utsatt for en sikkerhetshendelse, selv om du tenker at vi ikke har noen verdier for eksterne, er det fortsatt mulighet for innsiderangrep De fleste angrep er fra eksterne. Angriperen Økonomiske motiverte angrep er mest fremtredende. Spionasjesaker øker Betalings og bankinformasjon informasjon som raskt kan omgjøres til penger. Målet Påloggingsinformasjon er også populært men da gjerne for å komme videre til informasjon

10 Utklipp fra Dagbladet

11 Utklipp fra Dagbladet

12 Hva er informasjonssikkerhet Viktige egenskaper til informasjon: Konfidensialitet Informasjonen er hemmelig for uautoriserte brukere Tilgjengelighet Informasjonen er tilgjengelig når man trenger den. Integritet Informasjonen er korrekt og pålitelig Trusselaktører Naturkatastrofer Konkurrenter Kriminelle organisasjoner Hacktivister Nasjonal Sikkerhetsmåned 2014

13 Virksomhetens verdier Bedriftsinfo Patenter Oppfinnelser Nyheter Informasjon underlagt lover Personopplysninger Finansiell informasjon Helseopplysninger Omdømme og ekstern kommunikasjon Nettside Sosiale medier Intern kommunikasjonsløsning Regnskap Nasjonal Sikkerhetsmåned 2014

14 Ansatte påvirker informasjonssikkerheten Ansatte kan skade informasjonssikkerheten Falle for svindel Sende e-post til feil adressat Bruke svake passord Skrive sensitiv informasjon på sosiale medier Laste ned infiserte programmer Ansatte kan hjelpe informasjonssikkerheten Oppdage uønskede hendelser Rapportere og advare om uønskede hendelser Ansatte må være en integrert del av det helhetlige informasjonssikkerhetsarbeidet Nasjonal Sikkerhetsmåned 2014

15 Teknologiutviklingen 1) Barnevakt, eldreovervåking og overvåking av kjæledyr 2) Voldsalarmer med sporing, varsling og logging; 3) Personelloversikt utendørs; 4) Flåtestyring biler; 5) Friluftsliv og ekspedisjoner; 6) Etterforskning og fangeovervåking.

16

17 Internet of things Teknologien er driveren, standarder og lovverk er langt bak Cloud blir normen Effektivitet og økonomi Fra 5 mrd i dag til 20 milliarder sensorer i 2020 Biler, helse, klær, transport Alt som har batterier vil få en sensor.. Men er det designet for sikkerhet?

18 Apple Healthbook ++++

19 Flere saker kommer til overflaten Utklipp fra NRK

20 Verdens største tyveri I dag skjer historiens største overføring av immaterielle verdier Norske virksomheter er ikke forberedt Hva skjer når konkurrenten sitter på all informasjonen? Bilde Istock

21 Hvem er trusselaktøren? Kriminelle Hactivister Statsmakter Hvem som helst? Utilsiktede handlinger

22 Konsekvenser Ondsinnet programvare, generelle virus Nedetid, kostnader ved opprydding Målrettede angrep Tap av virksomhetsinformasjon og personopplysninger Tap av anseelse og omdømme Tap av forhandlingsposisjon, kontrakter og avtaler Tap av kunder Tap av tillitt

23 Det skjer også i Norge. Hackergruppen N0rSec stjal databasene til flere kunder ved et norsk webhotell Blant annet ble nettstedet narkoman.no rammet Epostadresser og passord-hasher ble gjort tilgjengelig på internett Kilde: narkoman.no og NSM

24 Brukerutfordringer

25 Bruker- og kundedata på avveier

26 Fokus på grunnsikring Verdivurdering Risikovurderinger Teknologiske tiltak Opplæring og kompetanseheving Øvelser og beredskap

27 Nasjonal sikkerhetsmåned 2014 PASSORD

28 De mest vanlige passordene Plass Passord Plass Passord letmein 2 password 15 photoshop qwerty 17 monkey 5 abc shadow sunshine password1 9 iloveyou 22 princess 10 adobe azerty trustno1 12 admin Omtrent de samme hvert år. Norske versjoner vil ikke hjelpe nevneverdig Det finnes norske passordlister også Nasjonal Sikkerhetsmåned 2014

29 Gode huskbare passord Et Sommerferie2014 passord bør: 1. Være lett å huske og vanskelig å gjette 2. Være unikt mellom forskjellige tjenester 3. Være så langt som mulig SoMmerferri sommerferie2014 Ha en utgått dato Passord basert på setninger er en gode vane Hele setninger eller første bokstaven somm rferie2014 i hvert ord Eksempler s0lsomm rferi1 «morn, jeg heter Kari» «Nthls11st» (Når trollmor har lagt sine 11 små troll) 1000tfefvoss! Tusen takk for en fantastisk varm og solfylt sommer Nasjonal Sikkerhetsmåned 2014

30 Passordhåndterere Ett passord brukes for å beskytte alle andre passord Fordeler Beskytter bra mot vanlige angrep Trenger bare å huske ett passord Mindre konsekvenser ved datainnbrudd på nettside Ulemper All sikkerhet i ett sted Lokal eller skybasert Lokal passordhåndterer gir deg full kontroll, men vanskeligheter når flere enheter brukes Skybasert gir enkel tilgang, men hvem har tilgang? Nasjonal Sikkerhetsmåned 2014

31 Sikker bruk av passordhåndterer Bruk et langt og sterkt master-passord Generer sterke tilfeldig passord for hver tjeneste Dette er passord som du ikke trenger å huske Ofte innebygd funksjon i programmet Krever at programmet finnes på alle enheter du bruker Vurder risikoen hvis du bruker skyen Her må du se om leverandøren er tillitsverdig Ta sikkerhetskopi av filen med passordene Nasjonal Sikkerhetsmåned 2014

32 To-faktor autentisering Autentisering er basert på: Noe du vet (f.eks. passord) Noe du har (f.eks. smarttelefon) Noe du er / gjør (f.eks. fingeravtrykk eller signatur) To-faktor autentisering krever to forskjellige faktorer passord og brikke for nettbanken Passord og engangskode via sms Nasjonal Sikkerhetsmåned 2014

33 God behandling av passord Ikke del passordet med noen Ikke la programmer huske passordet Med mindre du bruker en dedikert passordhåndterer Logg ut av tjenester når du er ferdig Spesielt viktig hvis det ikke er din PC Ikke skriv ned passordet Med mindre det er fysisk sikkert, f.eks i en safe Nasjonal Sikkerhetsmåned 2014

34 Nasjonal sikkerhetsmåned 2014 Nasjonal sikkerhetsmåned 2014

35 Informasjonen er verdien din Ta godt vare på den! Christian Meyer Tlf