Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Transkript

1 Risikovurderinger Øivind Høiem CISA, CRISK, ISO Lead implementer Sekretariat for informasjonssikkerhet, UNINETT SUHS-konferansen 2015

2 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet er muliggjøreren for å ta i bruk ny teknologi Personopplysninger Pasientopplysninger Banktransaksjoner Forskningsdata og annen konfidensiell informasjon

3 Hva er risikovurdering? Når vi foretar en risikovurdering vil man: Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet Vurdere risikoen sannsynlighet kombinert med konsekvens for hver uønskede hendelse Evaluere og håndtere risikoen ved å foreslå beskyttelses- eller kontrolltiltak som begrenser risikoen

4 Hvorfor skal vi gjennomføre risikovurdering? Opprettholde tillit til et system eller en tjeneste Overholdelse av rettslige plikter Opprettholde kvalitet på tjenester Vedlikeholde oversikt over informasjonseiendeler Beskytte ansatte, studenter, innbyggere Bidra til å beskytte kritisk infrastruktur Læring og spredning av kompetanse blant deltakerne i en ROS

5

6 Noen begreper Uønsket hendelse (trussel, risikoelement) En hendelse som kan komme til å påvirke sikkerheten på en negativ måte Sårbarhet Svakhet i et system, menneske eller en bygning som kan utnyttes av en trussel Sannsynlighet Et mål for hvor ofte en hendelse opptrer Konsekvens (skadeomfang) Konsekvens er følgen av en hendelse. Den kan innvirke på økonomi, omdømme, tap av personlig anseelse, liv og helse eller kritiske funksjoner, eller føre til rettslig påtale Risiko Risiko er et mål som kombinerer sannsynligheten og konsekvens av en hendelse.

7 Nye begreper vi må ta hensyn til Trusselaktør Hvem er en trussel? Hvem eller hva må vi beskytte oss mot? Motivasjon Hvorfor? Hva er det som driver trusselaktøren?

8 Trusselaktører «Nasjonalstater har både vilje og midler til å jobbe langsiktig for å oppnå sine mål» Generalmajor Roar Sundseth. Første leder av Cyberforsvaret Nasjonalstater Virksomheter industrispionasje «Vanlige» kriminelle (økonomisk vinning) Aktivister (Hactivists) (har kortsiktig fokus) Sporadiske hackere (nysgjerrighet, «ære og berømmelse) 10. november 2015 SLIDE 8

9 Roller Risikoeier Risikoeier har ansvar for risikoene ved en tjeneste eller et system. Det kan være tjeneste-/systemeier, linjeleder, prosjektleder eller andre. Risikoeier er ansvarlig for at ROSer kjøres og eier vanligvis tiltakene som iverksettes. Lokal ROS-koordinator Lokal ROS-koordinator koordinerer ROS-er. Rollen kan fungere som fasilitator, eller sørge for at den oppgaven utføres av andre. Lokal ROS-koordinator er ikke ansvarlig for at ROSer kjøres eller at tiltak iverksettes. Det ansvar har risikoeier. ROS-fasilitator Er ansvarlig for gjennomføringen av ROS-workshop. Man kan gjerne være to personer slik at en leder ROS-en og en noterer.

10 De viktigste rettslige reguleringene Regelverk med eksplisitte krav til risikovurdering Personopplysningsloven med forskrift e-forvaltningsforskriften Helseforskningsloven Regelverk med betydning for informasjonssikkerheten Forvaltningsloven Offentlighetsloven Arkivloven Regelverk som kan være aktuelle Helseregisterloven Pasientjournalloven

11 Personopplysningsloven med forskrift Gjelder all elektronisk behandling av personopplysninger som helt eller delvis skjer ved bruk av elektroniske hjelpemidler, manuelle personregistre som kan knyttes til en bestemt enkeltperson Formålet er å ivareta grunnleggende personvernhensyn

12 E-forvaltningsforskriften Gjelder elektronisk saksbehandling og kommunikasjon med forvaltningen Formålet er sikker og effektiv elektronisk kommunikasjon med og i forvaltningen samt å legge til rette for at enhver kan utøve sine rettigheter og oppfylle sine plikter overfor det offentlige

13 Regler som har betydning for informasjonssikkerheten Forvaltningsloven Taushetsplikt Partsinnsyn Offentlighetsloven Dokumenter/opplysninger som er unntatt eller kan unntas offentlighet Arkivloven med forskrifter Sikkerhetskopiering Fysisk sikring (skadeverk, innbrudd) Miljø (vann, fukt, temperatur, forurensning, osv.) Brann

14 Hvor ofte? Risikovurderinger bør gjøres jevnlig. Årlig for kritiske systemer. Sjeldnere for mindre kritiske. Det bør i tillegg gjøres en ROS-vurdering ved endringer av tjenester/systemer eller hvis "omgivelsene" rundt endrer seg.

15 ROS-prosessen ROS-prosessen kan deles opp i følgende aktiviteter: 1. Kartlegging av informasjonsaktiva med verdivurdering 2. Identifisering av uønskede hendelser (risikoelementer) 3. Identifisering av eksisterende tiltak 4. Vurdering av risikonivå (konsekvens og sannsynlighet) 5. Tiltak i forhold til risikoelementer 6. Kategorisering og prioritering av tiltak 7. Godkjenning av tiltak 8. Iverksetting og oppfølging av tiltak Aktivitet 2 til 5 gjøres i en ROS-workshop

16 ROS-workshop En ROS gjennomføres vanligvis som en workshop som kan ta noen timer eller opptil en dag Det bør være maksimum åtte deltakere Man bør ha en fasilitator som leder workshopen og en person som noterer ned det man kommer frem til Deltakerne bør ha kjennskap til tjenesten/systemet eller tilhørende infrastruktur, arbeidsprosesser osv. Gruppen kan være satt sammen av risikoeier, tjenesteeier, systemansvarlig, "superbruker" og tilsvarende roller. Man kan også ha med personer med generell kjennskap til for eksempel arkiv, økonomi, personal, IT, informasjonssikkerhet, eiendomsdrift eller studieadministrasjon

17

18 Risikomatrisen

19 Sannsynlighetsskala Frekvens Sjeldnere enn hvert 5. år Sjeldnere enn årlig Oftere enn årlig Flere ganger per halvår Letthet Relevante og fungerede sikkerhetstiltak finnes. Kan omgås av ansatte med privilegert tilgang og god kjennskap til tiltakene. Eksterne kan ikke omgå tiltakene uten intern hjelp. Relevante og fungerede sikkerhetstiltak finnes. Kan omgås av ansatte med normal tilgang og kjennskap til tiltakene. Eksterne behøver kompetanse og god kjennskap til tiltakene Sikkerhetstiltak er ikke effektive og målrettede. Kan omgås av ansatte uten spesielle ressurser eller kunnskap, eller av eksterne med normal kjennskap til tiltakene. Sikkerhetstiltak er ikke til stede eller er mangelfulle. Kan omgås av ansatte eller eksterne uten spesielle ressurser eller kjennskap til tiltakene. Motivering Ansatte med privilegert tilgang og spesiell kunnskap må opptre med forsett. Eksterne må ha spisskompetanse og samarbeide med ansatte. Ansatte med kjennskap til sikkerhetstiltakene må opptre med forsett. Eksterne må ha høy kompetanse og angripe sikkerhetstiltakene planmessig. Ansatte kan utføre sikkerhetsbrudd ved uaktsomhet (uten forsett). Eksterne må ha noe kompetanse og opptre med forsett. Både ansatte og eksterne uten spesiell kunnskap eller kompetanse kan utføre sikkerhetsbrudd ved uaktsomhet (uten forsett).

20 Konsekvensskala Økonomisk Tap opp til kr Tap opp til kr Tap opp til 8 millioner Tap over 8 millioner Omdømme Anses av en gruppe å ha utvist dårlig dømmekraft Anses lokalt som uaktsom Anses regionalt eller i sektoren som uansvarlig Anses nasjonalt som hensynsløs Kvalitet???? Personskader Trivielle skader, moderat psykisk påkjenning Skade som ikke krever langvarig behandling Skade som resulterer i langvarig behandling eller redusert førlighet Varig mén eller dødsfall, eller mange personer alvorlig skadet Miljøskader Mindre miljøskader som kan gjenopprettes uten omfattende ressursbruk Moderate miljøskader som kan utbedres til en overkommelig kostnad Større miljøskader som det koster mye å redusere Omfattende, varige eller uopprettelige miljøskader

21 Konsekvens i forhold til KIT Konfidensialitet Mangelfull logging av tilgang til personopplysninger Eksponering av enkeltindividers personopplysninger Eksponering av sensitive eller større mengder personopplysninger Eksponering av større mengder sensitive personopplysninger Integritet Uklart når eller hvordan ikke-kritisk informasjon sist ble oppdatert Inkomplett eller utdatert ikke-kritisk informasjon Viktig informasjon mangler eller er feil Kritisk informasjon mangler eller er feil Tilgjengelighet Opp til 1 arbeidsdag (eksamen/registrering: opp til 1 time) Opp til 5 arbeidsdager (eksamen/registrering: opp til 3 timer) Opp til 3 uker (eksamen/registrering: opp til 1 dag) Over 3 uker (eksamen/registrering: over 1 dag)

22 19. desember

23 Utfylling av ROS-skjema Risikoelement Beskriv risikoelementene Sårbarheter/ svakheter Beskriv sårbarhetene eller svakhetene risikoelementene utnytter Eksisterende beskyttelsestiltak Beskriv eksisterende beskyttelsestiltak. Eksempler: 2-nivå passordbeskyttelse. Tilgangskontroll til lokaler. Eksisterende kontrolltiltak Beskriv eksisterende kontrolltiltak. Eksempler: Gjennomgang av logger. Visuell inspeksjon av lokaler. Kategorisering For hver risiko vurderes sannsynligheten for at den skal inntreffe og konsekvensen av at den inntreffer på en skala fra 1 til 4 Risikonivå Risikonivået er en kombinasjon (summen) av sannsynlighet og konsekvens Tiltak Beskriv forslag til tiltak. Risikoelementer i rød sone utgjør en uakseptabel risiko. Det må foreslås tiltak som reduserer enten sannsynlighet eller konsekvens. I gul sone må det avveies om risikoen er akseptabel eller om tiltak er nødvendig.

24 Risikoområder Virksomhetens eierskap til IKT Overordnet informasjonssikkerhetspolicy og retningslinjer Organisering av informasjonssikkerhet Ressurser Kompetanse og ferdigheter Medarbeidersikkerhet Arkitektur Arbeidsprosesser Etablering og vedlikehold av portefølje Innovasjon Beslutningsprosesser ved IKT-investeringer Anskaffelse, utvikling og vedlikehold av IKT-systemer/tjenester Leverandørrelasjoner Håndtering av informasjonsverdier Tilgang- og adgangsstyring Drift og forvaltning Infrastruktur Programvare Datakommunikasjonssikkerhet Kryptografi Malware og logiske angrep Sosial manipulering Tyveri eller ødeleggelse Utro tjenere Fysiske og miljørelaterte områder Geopolitiske forhold Håndtering av informasjonssikkerhetshendelser Kontinuitetsplaner Etterlevelse av lover, regler og avtaler Kommunikasjon

25 Kilder til risikoelementer De viktigste kildene til risikoelementer som bør vurderes er: Tidligere risikovurderinger Tidligere sikkerhetshendelser Kjente sårbarheter som kan utnyttes Eksisterende sikringstiltak som kan omgås Generell kunnskap om sikkerhetstrusler på området Eventuelle eksisterende oversikter over relevante risikoelementer 10. november 2015 SLIDE 25

26 19. desember

27 19. desember

28 Risikohåndtering Etter at det er gjennomført risikovurderinger, er det avgjørende at risikoen for uønskede hendelser håndteres. Det innebærer at man iverksetter tiltak for hver uønsket hendelse med en risikofaktor som ligger over institusjonens nivå for akseptabel risiko. Risikohåndtingsmetoder: Redusere Godta Overføre, f.eks. forsikring Unngå, f.eks. avslutte den risikofylte aktiviteten Risikohåndteringsplan bør inneholde en beskrivelse av hvilken risiko og hvilke sikringstiltak som skal iverksettes. Sikringstiltak etableres av den eller de som har ansvaret for å håndtere risikoen.

29 ROSene er bidrag til årshjul for styringssystem for informasjonssikkerhet Informasjonssikkerhetsansvarlig (CISO) skal gjennom året løpende: Sørge for at risikovurderinger gjennomføres i henhold til plan for risikovurdering Følge opp at risikohåndteringsplanen oppdateres ved funn i risikovurderinger Følge opp at risikohåndteringsplanen blir satt ut i livet av de aktuelle aktørene

30 Ledelsens gjennomgang Til ledelsens gjennomgang skal CISO legge fram: Status for gjennomføring av risikovurderinger Status for gjennomføring av risikohåndteringsplanen For å tilfredsstille kravene til et styringssystem for informasjonssikkerhet må ledelsen: vurdere om dette rammeverksdokumentet behøver justeringer vedta en oppdatert plan for risikovurderinger følge opp eventuelle problemer med gjennomføring av risikohåndteringsplanen, enten med styringssignaler eller ved ressursfordeling

31 Sentrale ROSer av felles systemer i UHsektoren Universiteter og høyskoler er pålagt gjøre risikovurderinger av sine systemer/tjenester Mange av systemene er felles systemer for flere institusjoner, med sentral konfigurasjon og drift, og lokal konfigurasjon og opplegg for bruk Det er laget en veileder som inneholder Sekretariat for informasjonssikkerhets anbefaling for risikovurdering av felles systemer Utfordringen er å sørge for at de behandlingsansvarlige er tilstrekkelig involvert, og at risikovurderingen er tilstrekkelig forankret i sektoren, uten at hver institusjon skal måtte gjøre sin egen risikovurdering av det sentrale systemet fra grunnen av

32 Ansvarsforhold Den enkelte institusjon har, som behandlingsansvarlig, det fulle ansvaret for at det gjøres en risikovurdering av det felles systemet institusjonen benytter. Institusjonen står ansvarlig overfor Datatilsynet, Riksrevisjonen og eieren KD. UNINETT har et ansvar for å forvalte de felles systemene på en slik måte at institusjonene kan oppfylle sine forpliktelser, og bidra til at sikkerheten blir ivaretatt.

33 Deltakere i felles ROS UNINETT inviterer, i samråd med prioriteringsråd et for systemet, til deltagelse i et behandlingsansvarlig-utvalg for en ROS Det oppgis hvilke roller/funksjoner som bør være representert i et utvalg for systemet. Institusjonene foreslår medlemmer UNINETT setter sammen utvalget Det bør være en viss bredde av institusjoner representert. Det må være en god sammensetning med hensyn på roller i forhold til systemet Utvalget forelegges prioriteringsrådet til uttalelse Utvalget opptrer som de behandlingsansvarliges representanter under ROS

34 ROS-workshop og -rapport UNINETT fasiliterer ROS-prosessen med bistand fra Sekretariat for informasjonssikkerhet i UH-sektoren UNINETT utarbeider ROS-rapport i samråd med utvalget I rapporten skilles det mellom funn ved det sentrale systemet som krever sentrale tiltak, og faktorer som har med lokal konfigurasjon og bruk å gjøre, som hver institusjon må ta inn i sin internkontroll. UNINETT forelegger ROS-rapporten for prioriteringsrådet og arbeidsutvalget

35 Tiltakshåndtering Prioriteringsrådet gjør en vurdering av funn og tiltak fra ROS-en. De vedtar hvordan ROS-en skal følges opp UNINETT oversender ROS-rapporten til institusjonene, med prioriteringsrådets vurderinger og vedtak vedlagt UNINETT og systemets arbeidsgruppe er ansvarlige for å gjennomføre de vedtatte tiltakene som gjelder det sentrale systemet Hver enkelt institusjon følger opp funn og tiltak fra ROS-en som angår lokal konfigurasjon og bruk