Hvilke konsekvenser har skala for risiko- og sikkerhetsarbeidet i offentlig sektor? BDO AS v/geir Arild Engh-Hellesvik

Transkript

1 Hvilke konsekvenser har skala for risiko- og sikkerhetsarbeidet i offentlig sektor? BDO AS v/geir Arild Engh-Hellesvik Nasjonal Fagkonferanse i Offentlig Revisjon 1

2 BDO lokalt og internasjonalt kontorer over hele landet ansatte globalt Over kontorer 139 Tilstede i 139 land 1200 Over 1200 ansatte 1,2 Over 1,2 milliard NOK i omsetning BDO Norge BDO International Nasjonal Fagkonferanse i Offentlig Revisjon 2

3 Kompetansehuset BDO Revisjon Andre attestasjonstjenester Risikostyring og internkontroll IT Revisjon IFRS/Børs REVISJON RÅDGIVNING Virksomhetsstyring og økonomisk analyse Risikostyring og internkontroll Granskning Internrevisjon Organisasjonsutvikling og operasjonell effektivitet Finansielle tjenester Sikkerhetstjenester Selskaps og konsernbeskatning Selskapsrett Merverdiavgift Transaksjonssrådgivning Internprising og annen grenseoverskridende transaksjoner Prosedyre SKATT & AVGIFT FORETAKS- SERVICE Regnskap og årsoppgjør Lønn Budsjett og likviditetsstyring Drift og effektivisering av økonomifunksjonen Selskapsetableringer, fusjoner/fisjoner og kapitalendringer Styrearbeide Nasjonal Fagkonferanse i Offentlig Revisjon 3

4 Agenda Introduksjon til skala Hva er ultra large scale systems? Karakteristika Utfordringer Risiko Sikkerhet Spørsmål? Nasjonal Fagkonferanse i Offentlig Revisjon 4

5 Bakgrunn for dette foredraget Allestedsnærværende IT alle gjøremål inkluderer på en eller annen måte et IT system, ofte flere Alle er online alt er tilknyttet alt Størrelsen på systemer av brukere, enheter, programvare og interaksjonene mellom disse øker (raskt) System av systemer systemer «samarbeider» om felles mål i «supersystemer» Noen relevante buzzwords: Internet of things, Cloud Computing, Big Data, Wearable technology, SOA Nasjonal Fagkonferanse i Offentlig Revisjon 5

6 Bakgrunn forts. Linda Northrop m.fl. forskningsprosjekt i 2006 Ultra-Large-Scale Systems - The Software Challenge of the Future 1 års studie av en gruppe eksperter tilnyttet Software Engineering Institute ved Carnegie Mellon University, US Finansiert av Department of Defence Parallelt forskningsprosjekt i Storbritannia Large scale complex IT systems Flere parallelle prosjekter ved flere universiteter Nasjonal Fagkonferanse i Offentlig Revisjon 6

7 The strangeness of scale at Twitter Nasjonal Fagkonferanse i Offentlig Revisjon 7

8 ULS Ultra Large Scale Systems ULS systemer har ekstrem størrelse i alle tenkelige dimensjoner: Antall enheter i systemet Antall linjer i programvaren Antall transaksjoner og datalinjer som lagres og behandles Antall brukere, direkte og indirekte Antall rutiner/prosesser, interaksjoner og grensesnitt Antall forvaltere og kontrollerende instanser Antall avhengigheter Nasjonal Fagkonferanse i Offentlig Revisjon 8

9 ULS Ultra Large Scale Systems Noen karakteristika Desentralisert og distribuert struktur Kravstilling til systemet er motstridende, tidvis ukjent Kontinuerlig utvikling og implementering Enkeltelementer er heterogene, inkonsistente og i endring Grensen mellom menneske og system brytes ned Feil er normen ikke unntaket Nye rammer for anskaffelse og policy Nasjonal Fagkonferanse i Offentlig Revisjon 9

10 Ett gammelt eksempel Økosystem Har diversifisert brukermasse med ulik agenda og motivasjon Komplekse avhengigheter og individuell oppførsel i systemet Iboende tilpasning gir robusthet ift forstyrrelser Nasjonal Fagkonferanse i Offentlig Revisjon 10

11 Ett friskt eksempel Nasjonal Fagkonferanse i Offentlig Revisjon 11

12 Økosystemet ULSS Sosiotekniske økosystemer som inkluderer mennesker, teknologi, organisasjon på alle nivåer med betydelige innbyrdes avhengighetsforhold Dynamiske grupperinger Samhandling mellom alle deler roller, ansvar og informasjon Konkurranse om ressurser Regler, insentiver og tilpasning Nasjonal Fagkonferanse i Offentlig Revisjon 12

13 ULS Ultra Large Scale Systems De fins flere (potensielle) ULS systemer: Helse IT Forsvaret (Nettverksbasert Forsvar) Finanssektoren (Markedsplattformer og betaling) Kraftforsyningen (Smart Grid) Transport/luftfart/kjøretøy Og flere Nasjonal Fagkonferanse i Offentlig Revisjon 13

14 ULS Ultra Large Scale Systems Generelt kan utfordringer knyttet til fremveksten av ULS systemer deles i 3 grove kategorier 1. Design og utvikling 2. Implementering og styring 3. Overvåkning og kontroll (herunder revisjon/verifikasjon) Nasjonal Fagkonferanse i Offentlig Revisjon 14

15 Risiko

16 Risikovurdering utfordringer ULS systemer Uklare avhengigheter Dynamiske endringer Desentralisert styring Uoversiktlig omfang Intern inkonsistens Nasjonal Fagkonferanse i Offentlig Revisjon 16

17 Primærtilnærming sikkerhetsrisiko Verdi Risiko Verdi = Metodikk Security - NS 5830-serien Safety ROS - NS 5814 Trussel Sårbarhet Verdi x Trussel x Sårbarheter = Risiko Tiltak (menneskelige, organisatoriske, tekniske) Nasjonal Fagkonferanse i Offentlig Revisjon Side 17

18 Sikkerhet

19 Sikkerhet - utfordringer Kjernekomponenter - felles tjenester Autonomi brukere og enheter Infrastruktur - «limet» mellom enhetene Integrasjon - grensesnitt Forvaltning (tilgangsstyring endringskontroll - drift) Feil som normalsituasjon Nasjonal Fagkonferanse i Offentlig Revisjon 19

20 Statshemmeligheter Nasjonal Fagkonferanse i Offentlig Revisjon 20

21 Oljeselskaper angrepet av hackere i sommer NSM har denne uken varslet en rekke virksomheter innen energi- og oljesektoren om forsøk på datainnbrudd Ifølge NSM er det avdekket 50 forsøk på datainnbrudd mot olje- og gassektoren. Forsøkene går gjerne gjennom vedlegg på epost - åpnes disse er risikoen for skadelig programvare inn i bedriften stor. Kilde: Computerworld, 27/8/ Nasjonal Fagkonferanse i Offentlig Revisjon 21

22 Telenor Nasjonal Fagkonferanse i Offentlig Revisjon 22

23 Hvem er ansvarlig for datatyveri? Target Corporation in the US terminated the contract of it s sitting CEO Mr Gregg Steinhafel after 35 years with the company in the wake of a cyber attack that compromised the personal data of [110] millions of it s shoppers. This event has reverberated across every Boardroom around the world. Boards are now rightly asking the question of every CEO and CTO How secure are we? and now holding management fully accountable to that response. In Google We Trust Four Corners, ABC 9/9/2013; Symantec 2014 Internet Security Threat Report, Volume Nasjonal Fagkonferanse i Offentlig Revisjon 23

24 Sikkerhet - faser og helhetlig tilnærming Virksomhet System for risikostyring Operasjonell finansiell omdømme - sikkerhet -m.m. Hendelse Styring Forebygging Håndtering Sikkerhet Tiltak Beredskap Hendelseshåndtering System for sikkerhetsstyring Risikovurdering -> strategi / plan Personell - informasjon objekt Planlegge, øve Varsle, kommunisere, koordinere, forsterke, gjenopprette Nasjonal Fagkonferanse i Offentlig Revisjon Side 24

25 IKT-sikkerhet Må dekke det å: Forebygge Oppdage Reagere Gjenopprette Gjenopprette Forebygge Kan ikke sikre alt 100 % Ledelse Sikre de viktigste verdiene best mulig og ha kapasitet til å håndtere hendelser utover dette Reagere Oppdage Nasjonal Fagkonferanse i Offentlig Revisjon 25

26 IKT-sikkerhet Arbeide med å utrede og på best mulig måte omsette virksomhetens sikringsbehov i praksis, innenfor virksomhetens rammer Rammer i denne kontekst dekker både menneske, organisasjon og teknologi Hvert område har sine særtrekk og tiltak må sees i en større sammenheng Mennesker Organisasjon Teknologi Lede og styre??? Operativ IKTsikkerhetsfunksjon Forebygge??? Detektere??? Total kapasitet Reagere??? Gjenopprette??? Nasjonal Fagkonferanse i Offentlig Revisjon 26

27 Geir Arild Engh-Hellesvik Tlf: e-post: