Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Transkript

1

2 Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3

3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva som kan bli kompromittert ved hjelp av informasjonsteknologi. Konfidensialitet Integritet Tilgjengelighet Cyberkriminalitet er en av de fire største vinningsforbrytelsene. World Economic Forum har satt Cyber-sikkerhet som en av fem globale riskiko i sin årlige risikorapport. Cyber-krim er økenede. 4

4 Hva er Cybersikkerhet Cyber er: Overalt Angår alle Kraft, transport, infrastruktur, banker, helse, stat, sikkerhet, HMS, media, utdanning, forsvar osv. Cybersikkerhet handler om: Sårbarheter av trusler knyttet til nettverk og data Vår økonmiske sikkerhet Vår nasjonale sikkerhet Deloitte Touche Tohmatsu

5 Bakgrunn - risiko Snurr film 6

6 Hackerens opprinnelse MiT Railroad club (ca 1960) John Draper (ca 1970) Robert Morris Jr (1988 Morris Worm) Kevin Mitnick Arrestert 1995

7 Dagens trusselaktører Script kiddies Organisert kriminalitet Idealister Militær og stat

8 Eksempel på målrettet, statlig sponset angrep 9

9 Cyber Security Attacker Sophistication Accidental Discovery Malware Insider Lone Hacker / Hobbyist Business Partner Script kiddy Disgruntled ex-it Administrator Competitor Disgruntled Customer Disgruntled ex-employee State-sponsored Cyber Warfare Organised Crime Hacker Collectives Cyber Terrorism Hacktivism Attacker Determination 10

10 Er sikkerhetsmekanismene tilstrekkelige? Antivirus Brannmur Oppdagelse Signatur lages Signatur lastes ned Godkjent trafikk Internett Skanning Virus funnet! 11

11 Angrep skaper avisoppslag 12

12 Eksempel på omfang av et masseprodusert angrep ZeroAccess botnet - virus, september

13 Trojanere utnytter den menneskelige faktoren eksempel fra masseangrep

14 Eksempel fra masseangrep 15

15 Eksempel på målrettet angrep mot en sektor Mål: Det norske forsvar 16

16 Angrep kan også utnytte svakheter i programvare og trenger ikke menneskelig interaksjon. ~All programvare inneholder «bugs» Programmering er krevende og utviklere gjør feil. Sikkerhet er en utgift som kundene ikke nødvendigvis er villig til å betale for. Leverandør kan fraskrive seg ansvar; ELUA Gjennomsnittlig antall feil er proporsjonal med kompleksitet Estimat 5-50 feil per 1000 linjer kode Windows 7 ca. 50 millioner linjer kode 17

17 Den første «bugen»

18 Hvordan en datamaskin kan utnyttes En klassisk måte å utnytte programvare på er å overflyte minnet ved et teknikken buffer overflow 19

19 Eksempel på hvordan et nytt digitalt angrep lages: Buffer overflow Programmeren har ikke sjekket at det tildelte området er stort nok for dataene som skal lagres. Et program som trenger et område får dette tildelt. Minnet i en datamaskin er begrenset og delt inn adresserte områder.

20 Eksempel på hvordan et nytt digitalt angrep lages: Buffer overflow O N D K O D E Et program som trenger et område får dette tildelt. Minnet i en datamaskin er begrenset og delt inn adresserte områder.

21 Angrepsvektorer kommer i mange ulike former 22

22 Angrepsvektorer kommer i mange ulike former 23

23 Avansert angrep: Stuxnet Mål: Irans atomprogram Windows & kontrollsystemer Spreding: minnepinner, nettverk Funksjonalitet: Automatisk spredning Unyttet 4 ukjente sårbarheter Bruke stjålen identitet (sertifikater) Avansert kode med stealth funksjonalitet 24

24 Modifisert mus 25

25 Luftovervåkning 26

26 Vanlige utfordringer i norske virksomeheter Kommunikasjon mellom teknsik personell og ledelse. Utstrakt bruk av sosiale medier, mobilteknologi og skytjenester for informasjonsdeling. Teknisk personell er mangelvare. Preventive tiltak er ressurskrevende. Stort antall trusler gjør det vanskelig å identifisere og prioritere. Eksisterende organisasjonssiloer. 27

27 Sikkerheten er aldri sterkere enn det svakeste leddet. Xkcd.com 28

28 Konklusjon 3 viktigste take-aways Man klarer ikke å beskytte seg mot alt og trenger konsekvensreduserende tiltak Cybersikkerhet er virksomhetskritisk og er for viktig til å la ITavdelingen håndtere på egenhånd. Sikkerheten er aldri sterkere enn det svakeste leddet. 29

29 Still spørsmål, få nyttig innsikt Hvor skal man starte? Her er fire spesifikke spørsmål man kan stille ledelsesgrupper om spesifikke sikkerhetsområder: Hvordan sporer vi digital informasjon som forlater organisasjonen? Vet vi alltid hvem som logger inn på våre nett og hvorfra? Hvordan kontrollerer vi hva slags programvare som kjører på vårt utstyr? Hvordan begrenser vi informasjon som vi frivillig deler og er tilgjengelig for ondsinnede aktører? Hva gjør vi når noe uventet inntreffer, og når eskalerer en uønsket hendelse til en krise? 30

30

31 10 steg til effektiv risikostyring av cyber-trusler 1. Holde seg oppdatert på trusler og konsekvenser disse kan ha for virksomheten. 2. Erkjenn at styring av risiko knyttet til cyber bør håndteres som annen risikostyring 3. Opprett klare roller og ansvarsoppgaver 4. Sett av nok ressurser 5. Krev regelmessige rapporter/risikovurderinger fra ulike nivå i virksomheten 6. Sett krav til regelmessig og god overvåkning. 7. Gjør cybersikkerhet til en del av revisjon 8. Innfør måleparametere 9. Følg med på endringer i regulative krav. 10.Erkjenn at god styring av cyberrisiko kan gi virksomheten et fortrinn i forbindelse med å innføre ny teknologi (f.eks. Skytjenester) som kan gi økt verdi.

32 Cyber - Oversiktsbilde 33