INFORMASJONSSIKKERHET 20170912 Folke Haugland Instituttleder IKT, Fakultet for teknologi og realfag
Introduction University of Agder: 2 Campuses Campus Kristiansand Campus Grimstad Faculty of Engineering and Science Mathematical and Natural Sciences in Kristiansand ICT and Engineering Sciences in Grimstad Statistics 8500 students in Kristiansand 3500 students in Grimstad 730 academic staff 430 administrative staff Faculty of Engineeering and Science, ICT Department 2
Statistics The ICT department has about 75 employees including 9 professors 11 associate professors 11 assistant professors 6 adjunct associate professors 8 postdocs Approx 20 PhD 10 technical/administrative staff 1/3 non-norwegians Approx 500 students at our own study programs Faculty of Engineeering and Science, ICT Department 3
Technical education on all levels PhD Programme ICT Information and Communication Technology Master of Science ICT Information and Communication Technology (IIM Industrial and Information Management) Multimedia and Education Technology Bachelor of Engineering Engineering: Computer Science Engineering: Network Management and Security Multimedia Technology and Design Engineering: Electronics Qualifying Courses Continuing Education Faculty of Engineeering and Science, ICT Department 4
Lysne utvalget I Digital sårbarhet (2015) Lysne utvalget II Digitalt grenseforsvar(2016) Lysne-utvalget I kartlagt samfunnets digitale sårbarhet, og foreslår tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet. Lysne-utvalget II Ser på balansen mellom det sikkerhets- og etterretningsmessige og det personvernrelaterte Bakgrunn: Politiet og norske myndigheter har vesentlige mangler for å avdekke og håndtere digitale angrep
Utfordringer Digitalisering Flere koblinger - kjøleskapet ber om service via eget kall på web) Mer komplisert kompliserte prosesser styres automatisk Uklare eierforhold infrastruktur, landegrenser Tjenester leveres uten nasjonal kontroll personvern Sammensatte verdikjeder betaling med mobil i utlandet Falske basestasjoner
Digital sårbarhet - proaktiv konfidensialitet, det vil si at sensitiv eller gradert informasjon bare skal være tilgjengelig for autoriserte personer og prosesser Informasjonskvalitet(information assurance) og -integritet, det vil si at informasjonen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter tilgjengelighet, det vil si oppfyllelse av krav til service, slik at alle berettigede krav om tilgang til informasjonen dekkes ved behov. (accountability du har lov, men gjør noe du ikke skal loggføring)
Digital sårbarhet - reaktiv Alle systemer vil bli utsatt for angrep som av og til lykkes (detection and response) - gjenopprette tilstanden - Da kan du bedre tilgjengeligheten ved å gjenopprette raskt
1800 vannverk i Norge Maroochy Shire-hendelsen i Australia i år 2000 En tidligere innleid ITkonsulent hadde installert DriftsKontrollSystem som styrte 300 pumpestasjoner for avløp via radiokommunikasjon. Konsulenten fikk ikke jobb i vannverket og hevnet seg ved å manipulere pumpestasjoner, ventiler og luker slik at en million liter ubehandlet avløpsvann rant ut i nærliggende vassdrag. 1 1 J. Slay and M. Miller: «Lessons Learned from the Maroochy Water Breach» in Critical Infrastructure Protection, vol. 253, E. Goetz and S. Shenoi, Eds., ed: Springer Boston, 2007, pp. 73 82.
Anbefalinger Telenors Kjernenett er godt utbygd, det er profesjonelt operert, og det har historisk sett meget høy stabilitet. Likevel vil det kunne settes ut av spill ved menneskelige feil, rutinesvikt, sabotasje, terror eller utro tjenere. En aktør til (Broadnet elller Altibox) Fjern reglene for regulering/forbud av kryptering Vi trenger flere som kan forstå
Grunnleggende forståelse av digitale sårbarheter a) IKT som gjennomgripende faktor Cyber Physical System b) Cyber Security sårbarheter (trussel analyse) Vurderinger krever kompetanse Tiltak og mottiltak krever spesialkompetanse c) Kompetanse Underdekning på IKT Stor underdekning på IKT sikkerhet Basis sikkerhetskunnskap må inn i all IKT utdanning Internasjonale trender (Information Assurance and Security - IAS) På alle nivåer: BSc, Msc og PhD UH sektoren mangler til dels kompetanse til å gjennomføre dette
Nasjonale Aktører NSM(justis og forsvars) PST(justis ved justis) FSA (internt militær Forsvaret Sikkerhets Avdeling) Etteretningstjenesten CyFOR (Lillehammer) Aktører NIST National Institute of standards and Technology NVD National Vulnerability Database http://nvd.nist.gov