NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Transkript

1 NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS Gardermoen, 27. september 2017 Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet Illustrasjon: colorbox.no

2 OM NSM Historikk tilbake til 1943 Etablert som NSM i 2003 FD Koordinering Etatsst. JD 240 ansatte Hovedkvarter på Kolsås Kontorer i Sandvika og Oslo Mil. Siv.

3 Dette er Nasjonal sikkerhetsmyndighet: Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKTsikkerhetshendelser. SLIDE 3

4 DETTE GJØR NSM Personellsikkerhet IKT-sikkerhet Fysisk sikkerhet 4

5 NSM NORCERT NORWEGIAN COMPUTER EMERGENCY RESPONSE TEAM Norges nasjonale senter for håndtering av alvorlige dataangrep Tilgjengelig 24/7 Varsler om angrep, trusler og sårbarheter Bistår i håndtering og gjenoppretting etter angrep Nasjonalt kontaktpunkt Sørger for informasjonsdeling ved dataangrep Drifter et nasjonalt sensornettverk. Varslingssystem for digital infrastruktur (VDI)

6 VDI SENSOR UNNTATT OFFENTLIGHET jf offentleglova 24.3 SLIDE 6

7 ANDRE TILBUD UTOVER OPS OG VDI Sårbarhetsscanning Rådgiving Godkjenning av firmaer Støtte til hendelseshåndtering

8 PRIORITERINGER

9 NASJONAL KOORDINERING Felles cyber koordineringssenter (FCKS) Koordinerer hendelseshåndtering IKT-risikovurdering Deltakere: NSM E-tjenesten PST Kripos Liaison fra CYFOR Kompleksitet Kraftsamle miljø

10 SEKTORVISE RESPONSMILJØER 1 0

11 FELLES CYBER KOORDINERINGSSENTER - (FCKS) SLIDE 11

12 INTERNASJONALT SAMARBEID SLIDE 12

13 INTERNASJONALT SAMARBEID SLIDE 13

14 SLIDE 14

15 SLIDE 15

16 SLIDE 16 Foto: colourbox.com

17 I det digitale rom bruker vi kun syn og hørsel Vi kan ikke ta på det Vi kan ikke lukte det Vi kan ikke smake det. Vi opplever ikke frykt, trussel og risiko på samme måte SLIDE 17 Foto: colourbox.com

18 «Man skjønner ikke at man ikke skjønner IKT!» SLIDE 18

19

20 SLIDE 20

21 SLIDE 21

22 SLIDE 22

23 @ngrepsmetode nr. 1 Målrettede e-poster med skadevare i vedlegg eller linker SLIDE 23 ILLUSTRASJON COLORBOX.COM

24 +

25 SLIDE 25

26 Dersom sikkerhetskultur ikke handler om adferd har vi ikke bruk for det!

27 SLIDE 27

28 SIKKERHET? HOLDER DET IKKE BARE MED TEKNOLOGI?

29 SLIDE 29

30 SLIDE 30

31 Ulike typer elektroniske trusler: Logiske angrep på komponenter som utgjør kritiske IKT-systemer kan skape store problemer for eierne av IKT-systemene. Det kan være snakk om spredning av virus 1, trojanske hester 2 eller Ormer 3. Den senere tid har vi sett flere store nettsteder blitt utsatt for det som kalles «distributed, coordinated denial-of-service attack». Det vil si at angriperne bruker flere kraftige datamaskiner til samtidig å sende formidable mengder forespørsler mot nettsiden de ønsker å angripe. Dette vil føre til at det angrepne nettstedets servere i verste fall vil bryte sammen, og i beste fall svært vanskelig for andre brukere å komme i kontakt med serveren. Logiske angrep på komponenter som støtter opp om de kritiske IKT-systemer. Dette er indirekte angrep på støttefunksjoner som IKT-systemene er avhengige av for å kunne fungere. Det kan være ventilasjonssystemer, strømforsyning, vannkjøling m.m. På bakgrunn av dette er det ikke tilstrekkelig at bare IKT-systemene er sikret. Bevisst utnyttelse av IKT-systemer for å tilegne seg informasjon som en i utgangspunktet ikke har rettmessig tilgang til, for eksempel knekking av koder for kryptering/passord for å tilegne seg andres krypterte informasjon. Elektronisk tyveri av dokumenter/informasjon samt spionasje, både industriell og statlig, er et stort problem som man ikke har oversikt over på grunn av store mørketall. 31 SIKRE SAMFUNNSVERDIER

32 32 SIKRE SAMFUNNSVERDIER

33

34

35 Styrke IKT-sikkerhetskompetansen i flere sektortilsyn. Utvalget ser en økende digitaliseringstakt innenfor de fleste sektorer, og tilsynsmyndighetene vil møte mange mer eller mindre nye og komplekse problemstillinger. Det vil derfor i økende grad være behov for å styrke IKTsikkerhetskompetansen innenfor flere sektortilsyn. På kort sikt vil det være viktig med felles ressurser, slik at ulike sektortilsyn kan tilføres kompetanse fra for eksempel Nasjonal sikkerhetsmyndighet i enkelttilfeller. På lengre sikt tilsier teknologiutviklingen at sektorer og tilsynsvirksomheter må etablere en egen IKTsikkerhetskompetanse. Mange av problemstillingene knyttet til IKT-sikkerhet vil være felles for de fleste sektorer, og det vil være hensiktsmessig å etablere fellesarenaer for erfaringsutveksling og dialog mellom sektortilsyn og tverrsektorielle tilsyn. I forbindelse med at det stilles krav til IKT-sikkerhet, bør funksjonsbasert regelverk og tilsyn vurderes dette for å kunne følge med på raske teknologiske endringer og legge til rette for sikkerhetstiltak som er tilpasset den enkelte virksomhet

36 «Datateknologi og telekommunikasjon har skapt store forandringer i næringsliv og offentlig forvaltning. I løpet av drøye 20 år er IKT tatt i bruk i større eller mindre grad på de aller fleste områder, - skritt for skritt innen den enkelte bedrift/institusjon, - uten at man samtidig har tilstrebet noen samlet oversikt over IKT-avhengighet og samfunnsmessige konsekvenser. Dette har ført til nye og uoversiktlige strukturer og avhengighetsforhold innen næringsliv og forvaltning.» 36 SIKRE SAMFUNNSVERDIER

37 «Datateknikk og telekommunikasjon har skapt store forandringer i næringsliv og offentlig forvaltning. I løpet av drøye 20 år er EDB tatt i bruk i større eller mindre grad på de aller fleste områder, - skritt for skritt innen den enkelte bedrift/institusjon, - uten at man samtidig har tilstrebet noen samlet oversikt over EDB-avhengighet og samfunnsmessige konsekvenser. Dette har ført til nye og uoversiktlige strukturer og avhengighetsforhold innen næringsliv og forvaltning.» 37 SIKRE SAMFUNNSVERDIER

38 SLIDE 38

39 Kjerne- virksomhet Sikkerhet SLIDE 39

40 SLIDE 40

41 CYBERSPACE 2019 VI ER FORTSATT ANALOGE MENNESKER I EN DIGITAL VERDEN! "Illustrasjonsfoto:

42 «Kortsiktig tenking, gir langsiktige kostnader» SLIDE 42

43 «Sikkerhet er ikke det viktigste!» SLIDE 43

44 «Gode sikkerhetstiltak blir best når virksomhetene og deres ansatte selv finner løsninger som er basert på en god forståelse om hva slags bransje de er i, markedet de opererer i, hva de tjener penger på, hvilke verdier de har, hva slags risiko de har, hva slags risiko de er villige til å ta, hva slags trusler de står overfor, hvordan deres bedriftskultur er og ikke minst hva slags sikkerhetstiltak som allerede er på plass og hvorvidt de virker eller ikke.» SLIDE 44

45 «Gode sikkerhetstiltak blir best når vår virksomhet og våre ansatte selv finner løsninger som er basert på en god forståelse om hva slags bransje vi er i, markedet vi opererer i, hva vi tjener penger på, hvilke verdier vi har, hva slags risiko vi har, hva slags risiko vi er villige til å ta, hva slags trusler vi står overfor, hvordan vår bedriftskultur er og ikke minst hva slags sikkerhetstiltak som allerede er på plass og hvorvidt de virker eller ikke.» SLIDE 45

46

47 47 SIKRE SAMFUNNSVERDIER