Sikkerhetsutfordringer ved informasjonsbehandling

Transkript

1 Sikkerhetsutfordringer ved informasjonsbehandling UNINETT-konferansen 2013 Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet

2 Om Øivind Seniorrådgiver ved UH-sektorens sekretariat for informasjonssikkerhet hos UNINETT Har jobbet 20 år i Statoil med informasjonssikkerhet, sikkerhetskultur og risikovurderinger Sertifisert IT-revisor og innen risikostyring Medlem av ISACA Norges standard og forskningskomité 4. november 2013 SLIDE 2

3 UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD På bakgrunnen er riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Vi skal støtte UH-sektoren i informasjonssikkerhetsspørsmål De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for vårt arbeid 4. november 2013 SLIDE 3

4 I sekretariatet, er vi ikke late Policyer, rammeverk og metodikk Maler og informasjonsmateriell Risiko og sårbarhetsvurderinger Kontinuitet og beredskapsplaner Revisjoner Ledelsens gjennomgang Informasjon om trusselbildet Sikkerhetskulturbygging Arrangør av sikkerhetskonferanser Sikkerhetsportal Internasjonalt samarbeid 4. november 2013 SLIDE 4

5 Hvor mange av dere jobber med informasjonssikkerhet? 4. november 2013 SLIDE 5

6 Hva skjer på ett minutt på internett? Qmee november 2013 SLIDE 6

7 Den digitale utfordring I 2010 viste Eric Schmitt, tidligere CEO i Google denne statistikk: Every 2 days we create as much information as we did from the dawn of civilization up until 2003 Nå produserer vi samme informasjonsmengde i løpet av 10 minutter 4. november 2013 SLIDE 7

8 Utviklingen har gjort oss sårbare Offentlig transport, matdistribusjon, dialysemaskiner, matproduksjon, energiproduksjon, banksystemer, flytransport, sykehus, værvarslingen, forsvaret, politiet, vannforsyning, oljeproduksjon, telefoni, nødnummer 112, lønnsutbetalinger, radio og TV, energidistribusjon, brannmannskap, hjemmetjenesten er basert på IKT 4. november 2013 SLIDE 8

9 Nasjonal sikkerhetsmåned i oktober Norsk senter for informasjonssikkerhet NorSIS står bak den nasjonale sikkerhetsmåneden i oktober Info. på sikkert.no 4. november 2013 SLIDE 9

10 Trusselbildet

11 4. november 2013 SLIDE 11

12 4. november 2013 SLIDE 12

13 4. november 2013 SLIDE 13

14 4. november 2013 SLIDE 14

15 Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses til å gi fra seg informasjon eller til å bidra til å påvirke beslutningsprosesser» 4. november 2013 SLIDE 15

16 Trusselbilder fra PST «Et nyere trekk i etterretningen mot høyteknologi er enkelte etterretningstjenesters utilbørlige press mot studenter og forskere for å utlevere forskningsresultater til hjemlandet, nettopp for å styrke egen forskning og utvikling» 4. november 2013 SLIDE 16

17 Trusselbilder fra NSM «Fremmede staters etterretningsaktivitet er hovedsakelig rettet mot forsvarsog sikkerhetspolitikk, olje- og gassektoren, høyteknologi-/ forsknings-/undervisningsmiljøer og eksilmiljøer» 4. november 2013 SLIDE 17

18 Nye bruksmønstre og brukerforventninger Smarttelefoner og nettbrett Mobile arbeidsplasser «Bring your own device» BYOD Skytjenester (Cloud computing) f.eks. Dropbox, box.com, Google translate, Prosjektplassen, browser plug-ins Sosiale media Mindre skille mellom jobb og fritid 4. november 2013 SLIDE 18

19 Trusselaktører «Nasjonalstater har både vilje og midler til å jobbe langsiktig for å oppnå sine mål» - Generalmajor Roar Sundseth. Leder av Cyberforsvaret Nasjonalstater Virksomheter (industrispionasje) «Vanlige» kriminelle (økonomisk vinning) Aktivister (Hactivists) (har kortsiktig fokus) Sporadiske hackere (nysgjerrighet, «ære og berømmelse) 4. november 2013 SLIDE 19

20 Hvor kommer angrepene fra? Kilde: Verizon, 2013 Data breach investigations report 4. november 2013 SLIDE 20

21 Hvem står bak angrepene? Kilde: Verizon, 2013 Data breach investigations report 4. november 2013 SLIDE 21

22 Hvilke angrepsformer benyttes? Kilde: Verizon, 2013 Data breach investigations report 4. november 2013 SLIDE 22

23 Virkemidler for sosial manipulering Kilde: Verizon, 2013 Data breach investigations report 4. november 2013 SLIDE 23

24 Eksempel på phishing-epost 4. november 2013 SLIDE 24

25 Sosial manipulering Virtuell kontaktetablering Melder seg inn i samme nettverksgrupper Tar kontakt med personen, deler samme interesse, blir «nettvenner». Oppgir ikke nødvendigvis sin rette identitet Virtuell kommunikasjon Kommuniserer med personen, blir bedre kjent, finner ytterligere svakheter, mottar Informasjon som hjelper videre i manipulering av offeret. Utnytter tillit og pålitelighet Har skaffet seg personens tillit og senket vedkommendes sikkerhetsbevissthet. Sender en epost med ondsinnet kode. Målrettet dataangrep Trojaner installert. Sender ut informasjon til trusselaktøren. Informasjon kan utnyttes direkte eller til nye forsøk på å skaffe mer. 4. november 2013 SLIDE 25

26 27. Juni 2013 detonerte «Snowden bomben» Aftenposten 6. sept november 2013 SLIDE 26

27 Storebror ser deg! NSA samarbeider angivelig tett med den britiske etterretningsorganisasjonen Government Communications Headquarters (GCHQ) for å få tilgang til ulike typer kommunikasjon på nettet. GCHQ skal blant annet ha jobbet med å komme seg forbi kryptert trafikk til Hotmail, Google, Yahoo og Facebook. NSA skal ha klart å få IT-selskaper til å legge inn hemmelige sikkerhetshull i tjenestene og produktene sine. Det betyr også at kriminelle og hackere kan finne disse bakdørene! 4. november 2013 SLIDE 27

28 4. november 2013 SLIDE 28

29 NSAs marina for informasjonsjakt Enorme mengder såkalte metadata havner i en database med kodenavn Marina. Dataene omfatter informasjon om surfing og besøkte nettsider, epostaktivitet og enkelte passord. Teknisk ukeblad 1. okt november 2013 SLIDE 29

30 FRA-loven i Sverige FRA-loven gir Försvarets radioanstalt (FRA) rett til å bedrive signalspaning på kabelbåren trafikk som passerer Sveriges grenser FRA er NSAs hemmelige partner i EU hevder journalisten Duncan Campbell Datatilsynet er bekymret over at FRA kan overvåke mye av den norske datatrafikken 80 prosent av data- og teletrafikken ut og inn av Norge går via Sverige 4. november 2013 SLIDE 30

31 Og i Norge trer datalagringsdirektivet i kraft november 2013 SLIDE 31

32 Trusselpyramiden «etter Snowden» Nasjonal-staters overvåking Nasjonal-staters spionasjeaktivitet Virksomheter «Vanlige» kriminelle Aktivister (Hactivists) Sporadiske hackere 4. november 2013 SLIDE 32

33 Rocky av Martin Kellerman 4. november 2013 SLIDE 33

34 Men den viktigste sikkerhetsrisikoen er nok oss selv... Finansavisen november 2013 SLIDE 34

35 Sikkerhetsbevissthet er viktig - Tenk igjennom «Hva kan bli vår neste sikkerhetshendelse?» Lunch av Børge Lund 4. november 2013 SLIDE 35

36 Sensitiv eller kritisk informasjon? Nei ikke hos oss!

37 Sensitiv informasjon Personopplysninger f.eks. spesialtilrettelegging pga. sykdom Eksamensoppgaver før eksamen Forskningsresultater f.eks.: olje og gass, nano-, bio-, mobilog forsvarsteknologi 4. november 2013 SLIDE 37

38 Virksomhetskritisk informasjon Samordna opptak Forskningsrelatert informasjon Hvem oppholder seg i bygg/laboratorier i tilfelle brann eller ulykke? Har vi ansatte eller studenter i utlandet der det skjer en alvorlig hendelse? Epost og telefoni 4. november 2013 SLIDE 38

39 Har vi ikke det? Man må vite hva man skal beskytte 4. november 2013 SLIDE 39

40 UNINETT har en fagspesifikasjon som Beskriver hvordan man kan klassifisere informasjon i forhold til bla. sensitivitet, kritikalitet, oppbevaringsperiode og avhending. Er et verktøy for informasjonseiere til å bidra til at sensitivt og virksomhetskritisk informasjon blir behandlet og avhendet i samsvar med interne og eksterne krav og beste praksis. 4. november 2013 SLIDE 40

41 Innhold Anbefaling om hvordan vi skal klassifisere informasjon Eksempler på hvordan informasjonsobjekter som er hyppig brukt i UHsektoren kan klassifiseres Referanser til relevante standarder, lover og forskrifter 4. november 2013 SLIDE 41

42 Lover, forskrifter og standarder som regulerer vår bruk av informasjon Noark 5 - Norsk arkivstandard Arkiv og kassasjonsplan for de statlige høgskolene Arkivloven Arkivforskriften Forvaltningsloven Offentleglova Pliktavleveringslova Personopplysningsloven Personopplysningsforskriften eforvaltningsforskriften Sikkerhetsloven Forskrift om informasjonssikkerhet Beskyttelsesinstruksen 4. november 2013 SLIDE 42

43 Metadata Metadata er «merkelapper» knyttet til informasjon som Type (dokument, presentasjon, regneark m.fl) Forfatter Tittel Opprettelsesdato Sist modifisert osv. Vi har også metadatatyper som er relatert til informasjonssikkerhet, og det er de som beskrives i fagspesifikasjonen. 4. november 2013 SLIDE 43

44 Eksempel på metadatatyper som bør klassifiseres Informasjonseier (f.eks. organisasjonsenhet, rolle eller prosess) Innhold (f.eks. forskningsdata) Lovhjemmel (f.eks. Offentlegslova 24.6.) Lagringssted eller datasystem Sikkerhetsklassifisering (Åpen, Intern, Konfidensiell) Sikkerhetsbehov (Konfidensialitet, Integritet, Tilgjengelighet) Maks. nedetid Hvorfor har informasjonen bevaringsverdi? Personopplysninger? Åpne data i offentlig sektor? Arkivnøkkel Oppbevaringsperiode Avhendingsmetode 4. november 2013 SLIDE 44

45 Eksempler basert på input fra UH-sektoren 4. november 2013 SLIDE 45

46 Lenke til fagspesifikasjonen UFS 136 Retningslinjer for klassifisering av informasjon 4. november 2013 SLIDE 46

47 Skytjenester

48 «Vi bruker ikke skyen» I en dansk undersøkelse svarte et flertall av virksomhetene at det ikke bruker skytjenester Det ble så sjekket om de ansatte virkelig brukte slike tjenester De brukte i virkeligheten i gjennomsnitt 30 skytjenester 4. november 2013 SLIDE 48

49 «PRISM-garanti» har gitt en tidobling av trafikken til datasenteret på Joffa 4. november 2013 SLIDE 49

50 Servicemodeller og ansvar 4. november 2013 SLIDE 50

51 Skysikkerhet Sikkerhet og personvern Databeskyttelse Identitetshåndtering Fysisk sikkerhet Tilgjengelighet Sikker sletting av data Risiko og sårbarhet Kontinuitet og katastrofeplaner Logging, sporbarhet og revisjon Juridiske og avtalemessige forhold Plassere ansvar for informasjonssikkerheten Sikre overholdelse av regulatoriske krav Sikre intellektuell eiendom Sikre dataportabilitet End-of-service support 4. november 2013 SLIDE 51

52 Datatilsynets «Ja» Datatilsynet har sagt ja til nettskytjenester i norske kommune, blant annet Google Apps i Narvik og Office 365 i Alta. Datatilsynets «ja» er betinget av følgende forutsetninger: Det må gjennomføres grundige risikovurderinger i forkant Tjenesteleverandøren må ha en tilfredsstillende databehandleravtale i tråd med norsk regelverk. Det er kommunen (den behandlingsansvarlige) som har ansvar for at lovens krav følges Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon og sikrer at databehandleravtalen følges. 4. november 2013 SLIDE 52

53 Personopplysninger i skyen Sikkerhetskopiering/Speiling - Overføres personopplysningene til et annet land for redundans? Segmentering Personopplysninger ikke skal sammenblandes med personopplysninger fra en annen behandlingsansvarlig Tilgangsstyring Hvem hos leverandøren har tilgang til personopplysningene som behandles? Autorisert og uautorisert bruk Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsforskriften? Dokumentasjon Er løsningen tilstrekkelig dokumentert med hensyn til kontroll fra offentlige myndigheter? 4. november 2013 SLIDE 53

54 Den Norske Akademiske NettSkyen - NANSen Felles skysatsing i regi av UNINETT som skal utvikle og forvalte felles (sky)tjenester for sektoren vha. ressurser og kompetanse i sektoren (dugnadsinnsats) Initiativ fra IT-direktører fra de fire store universitetene samt ledelsen i UNINETT Viktig med UH-sky pga sikkerhetsaspekter Starter med IaaS og PaaS Lenke til mere informasjon 4. november 2013 SLIDE 54

55 Rammeverk og sertifiseringsprogram for skytjenester 4. november 2013 SLIDE 55

56 Trusted Cloud Drive Facility - TCD TCD maintain trust and privacy of the enduser domain by separating metadata and encryption keys from the storage data at the domains boundary. TERENA Trusted Cloud Drive Facility.pdf 4. november 2013 SLIDE 56

57 Big Data personvernprinsipper under press 4. november SLIDE

58 Hvem er Facebooks kunder? Er det du og jeg som er Facebooks kunder? Nei. Kundene er annonsørene Vi er produktet! 4. november 2013 SLIDE 58

59 Hva er Big Data? Big Data er en trend der gigantiske mengder digitale data gjøres til gjenstand for omfattende analyse Big Data kan brukes til mange gode og samfunnsnyttige formål Teknologien benyttes i stor grad til å analysere anonymiserte data for å identifisere og forutsi trender og sammenhenger Bruken av Big Data utfordrer sentrale personvernprinsipper 4. november 2013 SLIDE 59

60 Bruk av Big Data reiser flere personvernutfordringer Bruk av data til nye formål: Big Data handler i stor grad om gjenbruk av data. Dette utfordrer personvernprinsippet om at innsamlede data ikke kan brukes til formål som er uforenlige med innsamlingsformålet. Datamaksimalisering: Dataene i følge prinsippet for dataminimalisering slettes når de ikke lenger er nødvendige for formålet. Big data innebærer et nytt syn på data, der data får en verdi i seg selv. Verdien ligger i dataenes fremtidige bruksmuligheter. Farvel anonymitet: Gjennom sammenstilling av data fra flere kilder kan det oppstå risiko for at enkeltindivider kan identifiseres fra i utgangspunktet anonyme datasett. 4. november 2013 SLIDE 60

61 Big Data - verdikjede Kilde: Datatilsynet 4. november 2013 SLIDE 61

62 Datatilsynets anbefalinger for bruk av Big Data Behandling av personopplysninger skal som hovedregel baseres på samtykke. Hvis det ikke er mulig eller ønskelig å benytte samtykke, bør opplysningene anonymiseres. Gode rutiner for anonymisering og avidentifisering av opplysningene er av stor betydning. Dette vil bidra til å redusere faren for reidentifisering. Big Data bør brukes etter prinsippene for innebygd personvern. Virksomheter som benytter Big Data må være åpne om hvordan de behandler personopplysningene de samler inn. Dette innebærer blant annet å gi den enkelte innsyn i hvilke beslutningskriterier som ligger til grunn for utvikling av profiler, og fra hvilke kilder opplysningene er hentet. Den enkelte bør gis mulighet til å få utlevert alle data virksomheten besitter om én i et brukervennlig format. Dataportabilitet vil hindre at kunder låses til tjenester som har uakseptable vilkår. 4. november 2013 SLIDE 62

63 Ny rapport fra Datatilsynet Last ned rapporten Big Data personvernprinsippene under press 4. november 2013 SLIDE 63

64 Åpne data i offentlig forvaltning

65 Åpne data i offentlig forvaltning FAD og Difi ønsker å legge forholdene til rette for at offentlige virksomheter skal dele sine data slik at de kan brukes i nye sammenhenger og til nye tjenester. Tilgjengeliggjøring og viderebruk av offentlige data handler om å la næringsliv, forskere og sivilsamfunn få tilgang til og gjøre nytte av informasjon forvaltningen har. Med begrepet offentlige data menes alle typer informasjon som er produsert eller samlet inn av offentlige virksomheter. Offentlige data kan for eksempel være næringslivsregistre, kartdata, organisasjonsmodeller, budsjett, årsregnskap og lignende. Når data blir gjort tilgjengelige i et maskinlesbart format, blir det mulig for andre å finne nye måter å bruke dataene på. På denne måten kan nytteverdien av data produsert av det offentlige mangedobles.

66 Veileder fra Difi Veilederen gir en innføring i hvordan offentlige data kan gjøres tilgjengelig for videre bruk, og inneholder blant annet: Eksempler på hva åpne data kan brukes til Argumenter for hvorfor offentlige virksomheter bør dele sine data Praktiske råd til hvordan det kan gjøres 4. november 2013 SLIDE 66

67 Stopp - Tenk - Klikk 4. november 2013 SLIDE 67

68 Takk for meg Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet 4. november 2013 SLIDE 68