STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013
4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte datautstyr Passordvett Svindel på nett Beskytte bærbart utstyr Beskytte informasjon
5 Virksomhetens verdier Bedriftshemmeligheter Personopplysninger Ansatte Kunder Informasjon underlagt lover Hva tror du er letteste vei inn til denne informasjonen for angripere?
6 Sikkerhetsbrudd Kilder: DN.no, Dinside.no, Aftenposten, DIGI.no, E24.no
7 Trusselbildet Målrettede angrep Trusler Sosiale medier Bring Your Own Device Nettskyen Mobile enheter Uforsiktighet av ansatte Angrep blir mer og mer rettet mot mennesker og ikke teknologi.
8 Hvorfor opplæring av ansatte? Flest angrep spiller på menneskelige svakheter Angrepene blir mer avanserte / målrettede Egne ansatte er største grunn til at informasjon kommer på avveier Våkne, kompetente ansatte er den beste metoden for å oppdage sikkerhetshendelser.
Informasjonssikkerhet - hva og hvorfor? Nasjonal sikkerhetsmåned 2013
10 Hva er informasjonssikkerhet Tiltak for å beskytte: Tilgjengelighet til informasjon og systemer Integritet informasjonen er korrekt og pålitelig Konfidensialitet informasjon ikke til uvedkommende Tilgjengelighet, integritet og konfidensialitet er informasjonssikkerhetens 3 pilarer.
11 Tilgjengelighet Tilgjengelighet er viktig fordi: Kundene ikke skal vente Ansatte får utført sine arbeidsoppgaver Dårlig renommé gjør bedriften sårbar Informasjon og systemer skal være tilgjengelige ved behov.
12 Integritet Integritet betyr at informasjonen er korrekt og pålitelig. Integritet er viktig fordi: Kundebehandling skjer på bakgrunn av informasjon i systemene Ledelsesbeslutninger skjer på bakgrunn av informasjon i systemene Gjelder også lønn og bemanning... Informasjonen vi får fra systemene skal være korrekt.
13 Konfidensialitet Konfidensialitet er viktig fordi: Personsensitiv informasjon ikke skal komme på avveier. Bedriftens egne rutiner og Norges lover skal overholdes. Bedriftssensitiv informasjon ikke skal komme på avveier. Konkurrentene skal ikke få tilgang til forretningshemmeligheter og kontraktsinngåelser. Konfidensialitet skal sikre at sensitiv informasjon ikke kommer på avveier.
14 Hvilke verdier har du? Informasjon IT-systemer Verdier som forvaltes Personvern Evnen til å løse prioriterte oppgaver og tjenester Renommé Alle som har en datamaskin har noe som en angriper er ute etter, spørsmålet er bare hvor stort mål man er.
15 Konsekvenser for oss? Økonomiske tap i verste fall konkurs Tap av kunder/renommé Brudd på lover, forskrifter og regler Angrepene handler oftest om penger, og informasjon/ressurser som kan brukes til videre svindel.
Beskytte datautstyr Nasjonal sikkerhetsmåned 2013
17 Enkle tiltak for en sikker PC (1) Oppdatert operativsystem og programvare Avinstallert programvare som ikke brukes Installert nødvendig sikkerhetsverktøy Minst antivirus og brannmur.
18 Enkle tiltak for en sikker PC (2). Vurder kryptering av bærbart utstyr PC-en er alltid låst i pauser og ved nødvendige ærend Regelmessig sikkerhetskopi av lagret informasjon
19 Sikkerhetsoppdatering Bruk automatisk oppdatering hvis mulig/følg bedriftens rutiner for oppdatering Sjekk etter oppdateringer når PC-en slåes på Sikkerhetsprogrammer kan holde oversikten, (www.norsis.no - sikkerhetsverktøy) Avinstaller programmer som ikke brukes.
20 Sikkerhetsverktøy Antivirus Stoppe kjente angrep Brannmur Ekstra forsvarslinje Sikkerhetsoppdatering Viktig med siste versjon verktøy kan holde oversikten Sikkerhetsverktøy gjør det lettere å sikre datamaskinen men husk sunn fornuft! Kryptering Bærbart utstyr mistes lett Sensitiv informasjon beskyttes
21 Passordbeskyttelse Lås datamaskinen når du ikke er tilstede Windows: Win + L Mac: Slå på «raskt brukerbytte», passordbeskytte skjermsparer + «hotcorners» eller benytt «Nøkkelringen». Automatisk låsing av datamaskinen ved inaktiv bruk, f.eks. etter 5 min. Sett passord, PIN-kode eller mønstergjenkjenning på mobile enheter Alle bærbare enheter som inneholder sensitiv informasjon, bør krypteres Lås maskinen når du ikke er tilstede. + L
22 Sikkerhetskopi Sikkerhetskopi begrenser tapet i tilfelle et cyber angrep eller hvis utstyr går i stykker eller mistes. Viktig å ha klart for seg: Hva skal sikkerhetskopieres? Gjøres det ofte nok? Er sikkerhetskopien sikret?
Gode passordtiltak Nasjonal sikkerhetsmåned 2013
24 Passord Viktigste tiltak for passord: Lag et sterkt passord Bruk forskjellige passord til forskjellige tjenester Behandle passordet sikkert Passord er ofte det eneste som sikrer informasjonen og identiteten din.
25 Hva er et sterkt passord? Et passord bør ikke være basert på et kjent mønster Passord bør være basert på en setning Eksempler: «Min tante har 1 gul bil» «Nthls11st» (Når trollmor har lagt sine 11 små troll) Et sterkt passord er lett å huske og vanskelig å gjette.
26 Hva er dårlige passord? Passord basert på et kjent mønster er lette å gjette Noen kjente mønstre er: Bytte ut tegn med bokstaver Legge til tall til slutt Bytte mellom liten og stor bokstav Rekke med tegn basert på tastaturoppsett Sitater fra kjente filmer eller bøker «P@$s0rd9» er ikke mye sikrere enn «passord».
27 Gjenbruk av passord Et av de største problemene med passord: Gjenbruk samme passord mange steder Samme passord privat og på jobb Du har ingen kontroll over hvor godt sikret passordet ditt er på nettstedene Hver person har i snitt 26 kontoer på nett.
28 Beskyttelse av passord (1) Sørg for at du logger inn på riktig nettsted Ikke skriv ned passordet Bytt passord umiddelbart hvis du tror det har blitt kjent av andre Vær forsiktig med hva du benytter som sikkerhetsspørsmål når du skal endre passord Bytt passord umiddelbart hvis du tror det har blitt kjent av andre.
29 Beskyttelse av passord (2) Ikke logg inn på sensitive kontoer via offentlige datamaskiner Benytt to-faktor autentisering der det er tilgjengelig Hvis du har kontoer du ikke bruker, slett dem Ikke logg inn på sensitive kontoer via offentlige datamaskiner. Ikke la programmer huske passordet
30 Passordlagringsprogrammer Ett passord som «låser opp» alle passordene Forandrer risikobildet Mulighet til veldig sterke unike passord All risiko samlet på ett sted Vanskelig å vite hvordan passordene sikres I slike programmer vil passordene du lager krypteres med ett master-passord. Noen lagrer også passordene i skyen Jurisdiksjon? Krav til innsyn
Svindel på nett Nasjonal sikkerhetsmåned 2013
32 Nettsvindel Hva er nettsvindel? Kontakt Mål Ikke bare e-post Penger Personopplysninger Innloggingsinformasjon Kredittkortopplysninger Infisere datamaskinen Phishing er kanskje den mest populære formen for nettsvindel. Metoder Falske nettsider Infiserte vedlegg
33 Svindel via sosiale medier Lenker spres Ofte via kontakter Hva hvis virksomhetens konto starter å spre slike linker? Beskytt passord og datamaskin Vær varsom med å installere tredjepartsapplikasjoner Den mest brukte metoden på sosiale medier er linker til diverse sider.
34 Oppdage svindel (kjennetegn) E-post Dårlig språk Stemmer e-postadresse med virksomheten Peker linkene til riktig domene Nettsider Bruk søkemotorer Mistenkelig bruk av domene Kontaktinformasjon Kryptert tilkobling(https) Vær kritisk når du mottar en e-post eller besøker et nettsted!
35 Oppdage nettsvindel Nettsvindel spiller ofte på tre faktorer: Fristelser Frykt Tillit STOPP. TENK. KLIKK.
36 Tiltak (1) Hvis du mottar en melding, kontroller avsender Ikke klikk på lenker i e-post, kopier adressen Vurder avsender og nettside nøye før du oppgir informasjon Sjekk om adressen er feilstavet eller tilhører et annet domene Kontroller alltid avsender! STOPP.TENK.KLIKK.
37 Tiltak (2) Sjekk om siden er kryptert før du sender over sensitiv informasjon, skal være https:// ikke http:// Ikke gi ut mer informasjon enn det som er nødvendig Sørg for at programvare hele tiden er oppdatert Sjekk om siden er kryptert før du sender over sensitiv informasjon! STOPP.TENK.KLIKK. Bruk sikkerhetsverktøy som brannmur, antivirus og e-postfilter
Bærbart utstyr Nasjonal sikkerhetsmåned 2013
39 Mobiltelefon/nettbrett Inneholder ofte sensitive data E-post Dokumenter Kontaktinformasjon Avtaler Kommunikasjonshistorikk Lås telefonen i tillegg til SIM-kort kode Hold mobilen oppdatert. Dette gjelder både apper og operativsystem. Behandle mobilen din med samme forsiktighet som om det var et bankkort. Ta sikkerhetskopi av telefonen.
40 Bruk av mobiltelefon/ nettbrett Antivirus Sporingsprogrammer/fjernsletting Mobiltelefonen trenger også sikkerhetsoppdatering Applikasjoner Fra leverandøren Sjekk tillatelser når du installerer nye applikasjoner Angrep på mobiltelefoner og nettbrett blir mer og mer vanlig.
41 Sikkerhetskopi mobiltelefon/ nettbrett Kan gjøres på flere måter Viktig å tenke på følgende: Hvor lagres dataene når du tar en kopi? Kan det gjøres automatisk? Hvor lang tid vil det ta og gjenopprette dataene? Sikkerhetskopi av mobiltelefon og nettbrett er like viktig som sikkerhetskopi av datamaskinen.
42 Trådløse nettverk Er du på et åpent trådløst nettverk utenfor kontoret, bør du anta at andre kan se hva du gjør. Viktig at trafikken er kryptert, enten via VPN eller via web-sider med https. På åpne trådløse nettverk, utenfor kontoret, bør du anta at alle andre kan se hva du gjør.
43 Minnepinner Minnepinner er små og lette å miste. De kan også inneholde store mengder informasjon. Hvis du har informasjon på minnepinnen som ikke bør komme på avveier, sørg for at dataene er kryptert. Tenk nøye på hva slags informasjon du lagrer på din minnepinne.
Beskytt informasjon Nasjonal sikkerhetsmåned 2013
45 Sikring av informasjon For de fleste er informasjonen mye mer verdt enn utstyret Vi blir mer og mer mobile, samtidig som vi håndterer mer informasjon Viktig å igangsette tiltak for beskyttelse av informasjon
46 Verdivurdering Hva er konsekvensen hvis en av følgende brytes: Konfidensialitet Integritet Tilgjengelighet En verdivurdering er grunnlaget for sikringstiltak E-postsamtaler og informasjon på nettsiden trenger forskjellig beskyttelse For å beskytte informasjon må du først vite hva den er verdt.
47 Ingen angrefrist på Internett Sett personverninnstillinger så du begrenser hvem du deler informasjon med Informasjonen du legger ut kan bli brukt i angrep mot deg Spørsmål å stille seg: Hvordan vil informasjonen bli tolket av andre? Hvordan vil informasjonen bli tolket i fremtiden? Det du legger ut på Internett blir der for alltid! STOPP.TENK.KLIKK.
48 Kryptering Kryptering av statisk data Minnepinner Harddisk Skyen Kryptering av data i transitt Logge inn på nettsider Sende kredittkortinformasjon E-post Sjekk alltid at du bruker https når du sender sensitiv data over nett. Krypter sensitive data som du har lokalt
49 Sletting av data Korrekt måte å slette data på: Programvare Destruksjon Avmagnetisering Slette fra papirkurven er som å rive ut innholdsfortegnelsen i en bok.
50 Nasjonal sikkerhetsmåned Norge 2013 Et mål i «Nasjonal strategi for informasjonssikkerhet» «Høy kompetanse og sikkerhetsbevissthet» Informasjonssikkerhet skal bli en naturlig del av hverdagen i arbeid og privat hos barn, ungdom og voksne Felles løft for bedre informasjonssikkerhet.
Samarbeidspartnere 2013 Platinumsponsorer Gullsponsorer Sølvsponsorer Bronsesponsorer Støttespillere 51
Kampanje Nasjonal sikkerhetsmåned 2013
Gadgets SPEIL Åpne og se sikkerhetsansvarlig! Hvem er bedriftens sikkerhetsansvarlig? Ingen kan ha ansvar alene for informasjonssikkerheten i bedriften. Alle og enhver er sikkerhetsansvarlig for alt de gjør på nettet. Du må også bidra til å ta sikkerhetsansvaret i bedriften! og hva med din PC hjemme? REFLEKS Sikker på gata! Sikker på data! En liten refleks kan redde liv i mørket, med refleks ferdes du sikkert. Hva er dine beskyttelsesmekanismer på datamaskinen, ferdes du sikkert der også? Tenk over hvilke sikkerhetsmekanismer du trenger her! 53
Plakater 54
55 Nano elæring fra Junglemap UiS-ansatte og studenter vil få 10 moduler e-læring* av ca. 2-3 minutters varighet med tema informasjonssikkerhet som vil bli distribuert via e-post. Junglemap har i samarbeid med NorSIS utviklet dette e-læringskurset for Nasjonal sikkerhetsmåned 2013. *) It-avdelingen har anskaffet ytterligere 10 moduler av e-læringen som vil fortsette etter at den ordinære sikkerhetskampanjen er over.
56 Presentasjoner 04.10.13, kl 14.15, rom KA-129 18.10.13, kl 14.15, rom KA-053
57 Kampanjefilmer «Tor» «Aldri oppgi passordet ditt» «Datakrim» «Alt du legger ut på nettet, blir liggende; for alltid!»
58