IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet pentest@nsm.stat.no Sikkerhetskonferansen 2014
Hvem og hva er vi? Seksjon for inntrengingstesting Fagseksjon i NSM Formelt operativ i 2009 «Din beste venn» Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Colourbox.com
Vårt erfaringsgrunnlag Ole-Sverre Haugli/Hæren Koblet til Internett og helt lukkede systemer Liten og stor Gradert og ugradert Offentlig og privat Egen drift og utkontraktert Sivil og militær Egen og delt infrastruktur Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Tekniske angrep og sosial manipulasjon Photo: Colourbox.com
EN ENKEL METODISK TILNÆRMING Photo: By Unicyberdog (Own work) [CC-BY-SA-3.0], via Wikimedia Commons
Risikotrekanten Verdi Risiko Trussel Sårbarhet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 5
Risikotrekanten Verdi Risiko Trussel Sårbarhet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 6
Sentrale begreper Verdi Trussel Sårbarhet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 7
1 Verdivurdering Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: By Gryffindor (Own work) [CC-BY-SA-3.0-2.5-2.0-1.0], via Wikimedia Commons
Hva er sikkerhet? Relatert til identifiserte verdier Tillit Ansvarlighet Konfidensialitet Integritet Tilgjengelighet Autentisitet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 9
Hva er sikkerhet? Relatert til identifiserte verdier Tillit Ansvarlighet Konfidensialitet Integritet Tilgjengelighet Autentisitet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 10
Verdier har ulike behov Konfidensialitet Integritet Tilgjengelighet Tilgjengelighet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Hva er trusselen? Relatert til identifiserte verdier Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Før det gir mening å snakke om sårbarhet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
IKT-SÅRBARHETSBILDET NOEN SIGNIFIKANTE FORHOLD! Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
2 Alarm-, adgangs- og overvåkingssystemer Fra flintøks til IP Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Colourbox.com
3 Alt over IP, IP over alt Alt kan angripes, fra over alt Født utdatert ingen sikkerhetstradisjon! Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Flickr.com/theirhistory CC NC-SA Photo: Colourbox.com
4 Det er fort gjort å glemme, ja det er fort gjort det Må sikres og forvaltes Bytt standardpassord! Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Colourbox.com
5 Utilsiktet lekkasje Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Flickr.com/theirhistory CC NC-SA Photo: Colourbox.com
Hvordan lekker vi informasjon? SENIORINGENIØR KODE 1181 INI OPS SYSTEMSTYRING, NETTVERKSTJENESTER - KOLSÅS Kvalifikasjoner: For stillingen som senioringeniør kreves minimum 4 års utdanning fra universitet/ høyskoleutdanning innenfor relevant fagområde. Det kreves minimum 5 års relevant tjenesteerfaring. Dette være seg drift av komplekse IP nettverk evt andre relevante nettverksløsninger. Annen utdanning og lang relevant erfaring kan etter vurdering kunne kompensere for eventuell manglende formell utdanning. Dette gjelder særlig gyldige sertifiseringer innen nettverksdrift, design tilsvarende, primært Cisco relaterte sertifiseringer. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 19
Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 20
Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 21
6 Mangelfull oppdatering av programvare Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Flickr.com/CyberHades [CC NC]
Mangelfull oppdatering av programvare Nettverksutstyr Operativsystem Øvrig programvare Windows Hjemmelaget IExplorer Adobe Office Java Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 23
Mangelfull oppdatering av programvare Nettverksutstyr Operativsystem Øvrig programvare Windows Hjemmelaget IExplorer Adobe Office Java Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 24
7 Passord Fremtiden 'Cause two out of three ain't bad Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Flickr.com/purpleslog [CC] Photo: Flickr.com_LizHenry [CC - BY - ND] Photo: Colourbox.com
8 Sosial manipulasjon 33% Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Photo: Flickr.com_rickh710 [CC - BY ]
9 Kart og terreng Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Kartgrunnlag: Kartverket (CC-BY-SA 3.0) Photo: Flickr.com/Aineias [CC - BY ]
Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 29
Hvorfor så ille? Kardemomme effekten Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 30
Orientering slutt!