1. Innledning / rammer

Avdeling fr infrmatikk g e-læring, Høgsklen i Sør-Trøndelag Innledning / rammer Bjørn Klefstad 16.08.2013 Lærestffet er utviklet fr faget Systemfrvaltning 1. Innledning / rammer Resymé:I denne leksjnen skal vi se nærmere på en innledning til faget Systemfrvaltning med en krt gjennmgang av de ulike leksjnene i faget. Videre skal vi se på hvilke rammefaktrer vi må ta hensyn til når det gjelder drifts- g vedlikehldsppgaver fr et IT-system. Det er viktig å være klar ver at det ligger en del frutsetninger til grunn sm vi må ta hensyn til i denne type arbeid. Vi må ta hensyn til en rekke ulike lver g regler, eksterne rganisasjner sm ivaretar hver sine interessemråder g interne frhld sm bedriftskultur g hldninger blant de ansatte. Innhld 1.1. INNLEDNING TIL FAGET SYSTEMFORVALTNING... 2 1.1.1. Innledning / rammer... 2 1.1.2. Standarder (ITIL-standarden)... 3 1.1.3. Trusselbildet... 3 1.1.4. Risikanalyse... 3 1.1.5. Fysiske sikringstiltak g driftsmiljø... 4 1.1.6. Sikring mt eksterne trusler... 4 1.1.7. PC er g trådløs kmmunikasjn... 4 1.1.8. Drift g vedlikehldsrutiner... 5 1.1.9. Rutiner fr innkjøp... 5 1.1.10. Beredskapsplaner g frsikring... 5 1.1.11. Organisering av brukerstøtte... 6 1.1.12. Opplæring - kursutvikling... 6 1.2. RAMMER... 6 1.3. INTERNE FAKTORER... 6 1.3.1. Kultur, Plitikk... 7 1.3.2. Fagrganisasjner... 7 1.3.3. Styret... 8 1.3.4. Øknmi... 8 1.3.5. Erfaringer... 9 1.4. EKSTERNE FAKTORER... 9 1.4.1. Lver g frskrifter... 9 1.4.2. Sikkerhetsrelaterte rganisasjner... 14 1.5. AKTUELLE HENDELSER KNYTTET TIL SIKKERHET... 18 1.6. LENKER... 19 1.7. TILHØRENDE KAPITLER I LÆREBOKA... 19

Innledning / rammer side 2 av 19 1.1. Innledning til faget Systemfrvaltning Velkmmen til kurs i Systemfrvaltning. Først skal vi se litt på hvilke ppgaver vi knytter vi til dette begrepet. I frbindelse med Systemfrvaltning setter vi ss selv i rllen sm systemansvarlig, it-ansvarlig, sikkerhetsansvarlig, innkjøpsanvarlig sv. fr et lkalnettverk i en bedrift. Med dette utgangspunktet skal vi se på de ulike drifts- g frvaltningsppgaver sm vi mener hører naturlig hjemme i en slik rlle. Vi tenker da på drift g vedlikehld av ulike IT-systemer g alt sm følger med slikt arbeid med rganisering, planlegging, utføring g ppfølging. Spesielt sikkerheten i frbindelse med datasystemer er stadig i fkus g blir bare mer g mer aktuelt, etterhvert sm avhengigheten av datasystemene øker. I tillegg kbles pr i dag praktisk talt alle maskiner i nettverk slik at tilgjengeligheten øker fr uvedkmmende. Dette påvirker igjen det trusselbildet sm våre systemer står venfr. Både våre egne systemer, våre ansatte g verden rundt ss er i knstant endring. Dette betyr at denne typen arbeid stadig må gjentas fr at vi til enhver tid skal være ppdatert. En systemansvarlig sin stre utfrdring er å hlde IT-systemene så ptimale sm mulig innenfr de ressursrammer man dispnerer, slik at IT-systemene til enhver tid leverer tjenester av tilstrekkelig eller avtalt kvalitet til brukerne til lavest mulig kstnader fr leverandøren. Alle frmer fr IT-systemer er mttakelige fr utilsiktede hendelser i frm av interne eller eksterne trusler. IT-systemene kan bli utsatt fr ulike frmer fr eksterne angrep, interne angrep g ubevisste feil blant de ansatte. Utfrdringen er derfr å hlde systemet i en avtalt tilstand (avtalt kvalitet) verfr brukerne. Frskjellen mellm den avtalte- g aktuelle tilstanden representerer en kstnad fr virksmheten. Disse kstnadene kan frt bli stre ved hendelser sm fører til tapt prduktivitet g økte støttetjenester rundt IT-infrastrukturen. Vi tenker da på den periden IT-avdelingen jbber fr å identifisere g løse eventuelle prblemer, sm lammer prduksjnen i bedriften. Det er derfr viktig å planlegge g beskytte våre IT-systemer slik at sikkerheten er på et akseptabelt nivå g at vi tar høyde fr de ppgaver sm våre IT-systemer skal løse. Akkurat hvilke knkrete ppgaver sm hører hjemme under temaet Systemfrvaltning er gjenstand fr stadig diskusjn. Ut ifra en samlet vurdering så langt basert på faglærers erfaringer g studentenes tilbakemeldinger, består kurset av følgende delmråder sm er beskrevet under g inndelt i 12 leksjner. Vi har tatt med nen krte kmmentarer m hvert enkelt mråde g vil kmme tilbake til de ulike delmrådene utver i kurset. Innhldet i kurset tar gså hensyn til andre kurs levert av AITeL (itfag.hist.n) sm Internett g sikkerhet, ITIL g Infrmasjnssikkerhetsstyring. Dette betyr at eventuelle tema sm er mtalt veldig krt eller mangler fullstendig her, sansynligvis vil finnes i ett av disse andre kursene vi har nevnt. 1.1.1. Innledning / rammer Hvrdan skal vi så utøve vår rlle sm systemansvarlig, it-ansvarlig, sikkerhetsansvarlig, innkjøpsanvarlig sv? Kan vi gjøre akkurat sm vi vil uten å frhlde ss til andre faktrer g kan vi instruere resten av rganisasjnen til å følge pp alle tiltak vi ønsker å innføre? Svaret på dette er entydig nei g sjansen fr at en slik strategi vil bli en suksess er svært liten. Vi må derimt ta hensyn til en rekke både interne g eksterne frhld fr å kunne utføre våre arbeidsppgaver på en tilfredsstillende måte.

Innledning / rammer side 3 av 19 Når det gjelder interne frhld så må vi blant annet sørge fr at vi har de ansatte med ss. Dersm vi innfører nye rutiner uten at vi har de ansatte med ss, vil sjansen på suksess være nærmest mikrskpisk. Hvrfr g hvrdan det skal gjøres, kmmer vi tilbake til. Manglende lver g frskrifter har så langt alltid vært et prblem i frbindelse med datakriminalitet. Hvrdan definerer man egentlig datakriminalitet? Gang på gang ender diverse rettssaker uten dmfellelse på grunn av mangelfullt lvverk. Lvverket henger flere år etter den teknlgiske utviklingen vi har hatt g dermed slipper mange billig unna. Men det skjer stadig en utvikling gså på denne frnten. I denne delen skal vi se krt på hva sm finnes av lver, regler g frskrifter pr i dag sm er aktuelle fr ss. Det finnes gså en rekke ansvarlige rganisasjner utenfr vår egen bedrift sm vi bør kjenne til. Dette frdi disse kan påvirke vår hverdag på jbb sm Systemansvarlig. Jeg tenker da fr eksempel på Datatilsynet, Næringslivets sikkerhetsrganisasjn, Sårbarhetsutvalget, Finanstilsynet g Økkrim. Vi skal se nærmere på hva disse arbeider med g hvrdan de vil påvirke vårt arbeid med å drifte g vedlikehlde bedriftens nettverk? 1.1.2. Standarder (ITIL-standarden) Det finnes en rekke ulike standarder vi bør ha en viss versikt ver. I dette kurset skal vi se krt på nen av de sm finnes g studere spesielt driftsstandarden ITIL. ITIL-standarden er en sentral standard i frhld til drift g vedlikehld av datasystemer g vært utbredt i Eurpa. Vi skal se nærmere på hva denne standarden innehlder g hvrdan den kan implementeres i vår rganisasjn. Vi tar utgangspunkt i rammeverket ITIL, g de anbefalingene sm ITIL gir fr de sentrale prsessene sm er nødvendig. Fr det første inngå avtaler med kundene m nivå g pris på tjenestetilbudet (SLA-avtaler) g fr det andre rganisere, styre g følge pp leveransen av tjenestetilbudet i henhld til avtalene. Vi gir en versikt ver flere av prsessene sm inngår i ITIL. Videre ser vi litt mer i detalj på prsessene styring av tjenestenivå, kapasitets- g kntinuitetsplanlegging, tilgjengelighetsstyring, hendelsesstyring g endringsstyring. Vi har i tillegg en gjennmgang av Servicesenterets rlle i alt dette. 1.1.3. Trusselbildet Det er viktig å kjenne til hvilke trusler vi er utsatt fr til enhver tid (egne ansatte, virus, hackere, sv.) g hvem av disse sm utgjør den største trusselen fr en bedrift. Det bildet sm er skapt i media er ikke nødvendigvis det bildet sm stemmer med virkeligheten. Media fkuserer i altfr str grad på de eksterne truslene g glemmer de sm jbber på innsiden av systemet. Gd sikkerhet krever at vi tar hensyn til alle grupper. Uansett hvem sm utgjør den største trusselen må vi først gjøre ss pp en mening m hvilke trusler vårt bestemte datasystem er utsatt fr, før vi kan innføre sikringstiltak. Et meget viktig punkt her er at man finner frem til de knkrete truslene fr den enkelte bedrift g ikke blir fr generell. Dette frdrer samtidig at man kjenner til det generelle trusselbildet g bruker dette sm utgangspunkt. NrSIS, NrCERT g ulike bransjerganisasjner er sentrale aktører i denne sammenhengen. 1.1.4. Risikanalyse Siden alt sikkerhetsarbeid bør starte med en grundig risikanalyse er dette et meget viktig punkt. En risikanalyse er det verktøyet vi bruker fr å kmme ss fra det generelle trusselbildet til det sm er viktig fr akkurat vår bedrift. Man bør vite hvrfr g hvrdan en

Innledning / rammer side 4 av 19 risikanalyse skal gjennmføres g faktisk kunne gjennmføre en risikanalyse fr en knkret bedrift. Før vi kan innføre sikringstiltak må vi kartlegge hva sm bør sikres gjennm en risikanalyse. Ellers skyter vi i blinde. Det er gså mulig å treffe i blinde (blind høne kan gså finne krn), men sjansen fr dette er svært liten. Vi skal se nærmere på hva en slik analyse innehlder, hva sm er hensikten g ikke minst hva sm danner grunnlaget fr gjennmføring av en slik analyse av gd kvalitet. Blant annet skal man kunne vurdere sannsynlighet g knsekvenser av ulike hendelser. Risikanalyse er et sentralt tema veralt gså utenfr IT-systemene til en bedrift. 1.1.5. Fysiske sikringstiltak g driftsmiljø Etter at vi har kartlagt hvilke trusler g farer sm er viktigst fr vår bedrift kmmer vi til ulike typer sikringstiltak. Vi betrakter det sm viktig at man kjenner knkrete bygningstekniske sikringstiltak så sm bruk av kameravervåkning, vakthld i ulike frmer, alarmsystemer, sneinndeling, låste dører, besøksprtkller, beskyttelse mt brannskade, vannskade. I tillegg bør dataansvarlige kunne vurdere når det er behv fr de enkelte tiltakene. Vi skal gså se litt på hvrdan vi sikrer at tiltakene blir fulgt pp av de ansatte. Ved hjelp av autentisering kan vi styre hvem sm har tilgang til våre IT-systemer g bygninger. Videre skal vi se på hvilke muligheter sm finnes fr å styre tilgangskntrllen til våre bedrifter g hvilke prinsipper de bygger på. 1.1.6. Sikring mt eksterne trusler Hvrdan skal vi sikre nettverket vårt mt angrep utenfra? Siden de aller fleste nettverk etter hvert er kblet sammen med resten av verden sitter det ptensielle inntrengere rundt mkring på hele klden. Vi må sikre mt at uvedkmmende får tak i, endrer på eller på en eller annen måte klarer å ødelegge vår bedrifts tilgang til våre data. Dersm våre systemer er åpne fr resten av verden kan vi gså bli misbrukt, slik at rganiserte angrep på en eller annen server ser ut til å kmme fra våre maskiner. Slike tilfeller er ikke akkurat gd reklame fr vår bedrift. Negativ mediemtale i tilknytning til sikkerhetsbrudd er ne vi sterkt prøver å unngå. I de siste årene har vi hatt en klar vridning fra amatørmessige angrep sm skriker etter ppmerksmhet til mer prfesjnelle inntregningfrsøk der de sm står bak er ute etter øknmisk gevinst. De prfesjnelle er mye farligere da de gjør alt de kan fr å skjule sin tilstedeværelse. I mange tilfeller er ikke en gang den bedriften sm er utsatt fr angrepet klar ver at nen har vært g eventuelt frtsatt er inne i deres systemer. 1.1.7. PC er g trådløs kmmunikasjn Her skal vi kikke nærmere på ulike sikringstiltak i frbindelse med flks arbeidsplasser. Det kan være PC er, bærbare PC er, hjemmepc, annet håndhldt utstyr g trådløs kmmunikasjn. I media hører vi stadig m åpne trådløse nettverk i Trndheim (g andre steder). Hvrfr krypterer ikke alle sine trådløse kmmunikasjnslinjer g hva kan vi gjøre med dette? Utviklingen går i retning av at vi bruker mer g mer trådløse kmmunikasjnsløsninger g mbilt utstyr. Flk lagrer mer g mer på sine mbiltelefner g leser e-pst g surfer på nettet. Men de glemmer at en mbiltelefn etterhver er utsatt fr akkurat de samme truslene sm en bærbar PC. Den kan både hackes g infiseres av virus slik at andre kan ødelegge fr ss. En annen effekt er at de er lett å miste eller bli frastjålet, ne sm kan føre til uønskede knsekvenser.

Innledning / rammer side 5 av 19 Rutiner sm er innført ved arbeidsplassen har vi ikke lenger mulighet til å følge pp når utstyret ikke lenger er fysisk plassert i våre lkaler. Vi er avhengig av at brukeren av utstyret følger pp de retningslinjer vi har satt uavhengig av hvr det befinner seg. Dette betyr at de ulike tiltakene vi har innført fr å sikre bedriftens data må legitimeres verfr våre ansatte. 1.1.8. Drift g vedlikehldsrutiner Hvilke arbeidsppgaver hører hjemme innenfr IT-drift, g hvrdan rganiserer vi driften. Her finnes mange ulike muligheter. Egne IT-avdelinger, persner med IT-ansvar rundt mkring på de ulike avdelingene (sentralisert eller distribuert). Eller utsurcing av IT-driften til et annet firma. Alle disse ulike løsningene har både frdeler g ulemper vi bør kjenne til. Hvr mye av vedlikehldet på våre maskiner skal vi utføre selv g når må vi støtte ss på eksterne firma? Og hvilke rutiner kreves da. Hvem sitter til enhver tid med hvedansvaret fr våre IT-systemer? Prgramvare er i utgangspunktet ferskvare g må etter hvert vedlikehldes eller byttes ut. Hva skjer med prgrammer når de vedlikehldes eller dersm de ikke vedlikehldes? Når kjøper vi standardprgramvare g når utvikler vi våre egne prgrammer? Vi skal kikke på karakteristiske egenskaper i denne sammenhengen fr begge tilfellene. 1.1.9. Rutiner fr innkjøp Hvrdan går vi frem ved innkjøp av datautstyr? Fr det første må vi kartlegge hva det er vi egentlig har behv fr. Det er ikke alltid like enkelt. Videre må vi bearbeide ledelsen ved vår bedrift fr å sikre penger til investeringen. Her kmmer vi inn på begrep sm beregning av nåverdi g faktisk vise at investeringen er lønnsm g gir den ønskede avkastningen. Her vil vi kmme inn på strategier g prsedyrer fr innkjøp av maskinvare g prgramvare, innhenting av anbud, parallelle frhandlinger med ulike leverandører, inngåelse av kntrakter (Statens standardkntrakter, Den Nrske Datafrening sv), hvilke garantier gjelder fr leverte varer, hva skjer i tilfelle kntraktbrudd. Hvilke feller bør vi være ppmerksmme på g hvrdan kan vi unngå dem. Hva skjer dersm en av partene går knkurs halvveis i leveransen? Fallgruvene er mange g stre. Her gjelder det å hlde tunga rett i munnen. Prinsippene sm ligger bak rutiner fr innkjøp kan gså brukes i mange andre sammenhenger enn innkjøp av IT-utstyr. 1.1.10. Beredskapsplaner g frsikring Altfr mange tar fr lett på dette punktet g blir sittende igjen med skjegget fullt av pstkasser. Det er viktig å kjenne til hvrfr vi trenger beredskapsplaner g hvilke knsekvenser det får dersm vi ikke har disse tingene på plass. Vi skal se på hva en slik plan bør innehlde g hvrdan slike planer skal iverksettes / øves. Øving er et viktig mråde sm stadig blir tillagt fr liten vekt. Enkelte samfunnsviktige funksjner er statens ansvar g vi skal se litt på hvilke dette er. Frsikring har etterhvert blitt et strt g kmplisert mråde g det finnes mange ulike frsikringer knyttet til ulike datasystemer. Spesielt de siste årene har det kmmet en rekke nye tilbud. Her bør vi kjenne til prinsippene fr frsikring g vi bør vite hva sm kan frsikres, hva sm bør frsikres g hva vi gjør med det sm ikke kan frsikres. Dette medfører at man bør kjenne til hvilke typer frsikring sm finnes g hvilke knkrete tiltak sm kan gjennmføres fr å sikre det sm eventuelt ikke kan frsikres? Leksjnen ser gså på samspillet mellm beredskapslaner g frsikring.

Innledning / rammer side 6 av 19 1.1.11. Organisering av brukerstøtte Hvrdan skal man rganisere brukerstøtte g hvilke egenskaper bør persner sm skal jbbe med slike ting ha? Ønsker man å bruke et sentralt Servicesenter eller spre eksperter rundt mkring i rganisasjnen. Hvilke knsekvenser får det dersm vi ikke rganiserer tilstrekkelig brukerstøtte? Vi skal gså kikke nærmere på hvilke arbeidsppgaver sm hører hjemme inn under et Servicesenter. Det stilles gså krav til de sm skal jbbe ved et slikt senter sm både bør være knyttet pp imt faglig g teknisk kunnskap, samt pedaggikk g evner til å kmmunisere med brukerne. Innhldet i denne leksjnen er nært knyttet pp imt et Servicesenter sm mtaler sm en egen funksjn i ITIL-standarden. 1.1.12. Opplæring - kursutvikling Hvrdan skal man gjennmføre brukerpplæring ved nyanskaffelser g ppdateringer av maskinpark g prgramvare. Skal vi legge pplæringen inn sm en del av arbeidsdagen eller skal vi tilby arbeidstakeren gratis kurs sm skal gjennmføres på fritiden. Et annet alternativ er hjemme-pc rdninger sm er gratis fr arbeidstakeren (leier fte utstyret fr en symblsk pris) mt at denne frplikter seg til å gjennmføre ulike IT-kurs g kunne dkumentere visse ferdigheter. Vi skal gså kikke på enkelte pedaggiske prinsipper fr pplæring. Hvilke arbeidsmetder aktiverer de sm skal læres pp g hvilke metder er passifiserende? Ofte er det snakk m å sette kursdeltakerne i stand til å ta i bruk ny prgramvare g da må vi tilpasse undervisningsaktivitetene i henhld til ppsatte læringsutbytter fr et kurs. 1.2. Rammer Da har vi sett litt på innhldet i hele kurset g skal frtsette denne leksjnen med å se nærmere på hvilke interne g eksterne frhld vi må ta hensyn til når det gjelder drift av ITsystemer. Det er viktig å være klar ver at det ligger en del frutsetninger til grunn fr dette arbeidet. Vi kan på ingen måte gjøre sm vi selv vil. Det finnes en rekke interne faktrer vi må ta hensyn til fr å sikre at våre rutiner g tiltak blir gjennmført. Mange av våre tiltak vil ppleves sm unødvendige siden de gir begrensninger fr brukerne sm skal utføre sine arbeidsppgaver. Vi tenker gså på ulike lver g regler sm på ingen måte er ne lett materiale å sette seg inn i. Hvilken straff får IT-kriminelle g hva må til fr å bevise hva de har gjrt? Er lver g regler tilstrekkelig ppdatert? Til slutt i denne leksjnen skal vi se litt på ulike eksterne rganisasjner sm kan være til hjelp i sikringsarbeidet av våre IT-systemer eller sm stiller visse krav til våre sikkerhetssystemer. Her er det viktig at man tar nettet til hjelp fr å ppdatere seg på det aller siste m disse rganisasjnene. 1.3. Interne faktrer Før vi begynner å innføre sikringstiltak i vår rganisasjn må vi ta hensyn til en rekke ulike interne faktrer. Selv m intensjnen er aldri så gd med å innføre sikringstiltak, må vi passe på slik at vi ikke verdriver. Vi skal sikre våre systemer tilstrekkelig g må alltid akseptere en viss risik fr uønskede hendelser. Dette betyr at vi fr hvert nytt tiltak må vurdere m det er nødvendig g i etterkant sjekke m tiltaket faktisk ga de resultatene vi var ute etter. Det finnes gså ulike strategier fr hvrdan man innfører nye tiltak i en rganisasjn. Tidligere ble fte nye tiltak tredd nedver hdet på de ansatte med til dels dårlig resultat. I stedet fr at tiltakene fikk den ønskede virkning var sikkerheten like dårlig sm før. Både på

Innledning / rammer side 7 av 19 grunn av usikkerhet g uvilje fulgte ikke de ansatte regelverket sm var vedtatt. Alt sm er nytt g alt sm medfører merarbeid må det jbbes mye med, fr at alle skal følge de retningslinjer sm er satt pp. Fr å ppnå de resultatene vi ønsker er vi nødt til å ta hensyn til hele bedriften g sørge fr å utvikle hele rganisasjnen parallelt med at sikkerhetsarbeidet blir gjennmført. Vi må være ppmerksmme på at ikke alle ansatte kmmer til å dele vårt syn på nødvendige sikringstiltak. Økt grunnleggende datakunnskap, kunnskap m endringene g hldningsskapende arbeid blant de ansatte er påkrevd. Selv m dette har vært kjent i flere år syndes det frtsatt svært mye i frhld til dette. Å trekke de ansatte inn i prsessen med å bestemme hvilke sikringstiltak vi trenger, har vist seg å fungere gdt. Andre tiltak man har prøvd fr å øke de ansattes grunnleggende datakunnskaper var å gi dem en hjemme-pc (kamuflert sm en utleierdning av skattemessige årsaker). De sm aksepterte dette tilbudet frpliktet seg samtidig til selv å ta ansvar fr å sette seg inn i en del grunnleggende datakunnskaper. Effekten av dette tiltaket var ne varierende. Fr mange endte det pp med at de måtte melde seg på kurs g betale dette selv fr å tilfredsstille kunnskapskravet fra arbeidsgiveren. 1.3.1. Kultur, Plitikk Her er det viktig at vi tar hensyn til den kulturen sm allerede er etablert i bedriften. Vi kan ikke kmme å tre et helt nytt system nedver hdene de ansatte i bedriften. Vi har et meget gdt eksempel fra ftballens verden sm viser nettpp dette. Drill, vår suksessfylte landslagstrener, dr fr nen år tilbake til Wimbledn g skulle revlusjnere deres spillestil g klatre på tabellene. Sm kjent gikk ikke dette så bra g den ppskriften sm virket bra her i Nrge virket slett ikke i England. Kulturen g spillemateriellet var ttalt frskjellige. Wimbledn var fra før vant til angrepsftball g de klarte ikke mstillingen til en ny spillestil. Nå er Drill tilbake sm nrsk landslagstrener g har nk en gang str suksess (ja da, vet at denne påstanden kan diskuteres) med det nrske landslaget med sin ftballfilsfi. Dette frteller ss at ulike grupper av ansatte må behandles med utgangpunkt i sin egenart, dvs at de sannsynligvis må behandles frskjellig. Vi må ta utgangspunkt i det sm allerede finnes i bedriften g bygge videre nettpp på dette. Sikringstiltak bør stå i relasjn til bedriftens øvrige kultur. Man bør gså ta hensyn til virksmhetens eventuelle markedsmessige prfil, sm ikke bør skades av at nye tiltak innføres. Ofte er tradisjnene i bedriften knyttet til ledelsen eller visse frntfigurer. Fr å sikre at vi får gjennmført våre sikkerhetstiltak er det fte en gd start å verbevise disse først. Da vil svært mange av de andre følge med uten prtester. 1.3.2. Fagrganisasjner Det sies fte at de ansatte er bedriftens viktigste ressurs. Det er derfr meget viktig å få med seg de ansatte når det skal innføres sikringstiltak i en bedrift. Dersm dette ikke skjer vil alle tiltak kun bli papirvedtak g de ansatte vil finne måter å arbeide rundt sikkerhetstiltakene på. Vi må derfr sørge fr å utvikle de ansatte samtidig sm det innføres nye rutiner slik at de ansatte vet hvrfr g hvilken hensikt de enkelte tiltak har. Hele bedriften inkludert representanter fr de ansatte, må være i med å utviklingsprsessen når nye sikringstiltak skal iverksettes. Dersm vi ikke er flinke nk til å ta hensyn til nettpp dette, risikerer vi at de ansatte ikke følger pp sikkerhetstiltakene g bruker i stedet sine egne rutiner. Dette er en meget viktig faktr sm raskt kan undervurderes. Vi mennesker er nå engang slik at det vi kjenner, føler vi ss trygge på g det ønsker vi å behlde. Nesten enhver frandring gjør ss litt utrygge frdi vi føler at vi kmmer ut på glattisen g litt ute av kntrll. Nye rutiner blir dermed i utgangspunktet dårlig mttatt dersm vi bare bestemmer at slik skal ting være. Før

Innledning / rammer side 8 av 19 en eventuell risikanalyse bør man avklare hvilke krav de ansatte har. Det settes stadig større fkus på sikkerhet g fagrganisasjnene er etter hvert svært pptatt av dette fr å sikre arbeidsplassene. Dersm de ansatte trekkes med i prsessen på riktig måte vil de utgjøre en ressurs i stedet fr et hinder på veien. 1.3.3. Styret De fleste virksmheter har et styre sm har det øverste ansvaret fr bedriften. En eller flere medlemmer i styret bør være med i den gruppen sm arbeider med sikkerhetstiltak. Dette fr å sikre at de tiltakene dere kmmer frem til ikke går på tvers av det styret ønsker i utgangspunktet. Da blir det umulig å få løs penger g arbeidet må gjøres på nytt. Siden styret ikke innehar den kmpetanse du selv har, er det viktig at du legger frem de enkelte prblemstillinger g argumenterer gdt fr dine synspunkter. Du bør være i stand til å selge de løsninger du har valgt til styret. Ting sm fr deg er den største selvfølge at må pririteres kan bli sett på sm uvesentligheter dersm de ikke er gdt begrunnet. Det er derfr meget viktig at vi er i stand til å legge frem våre frslag på en ryddig g rdentlig måte uten å gå ss vill i fagterminlgi. Saklige, grundige g strukturerte begrunnelser fr de ulike tiltakene vi mener det er behv fr kan være ppskriften fr å få bevilget penger. Andre metder kan være å skissere flere ulike løsninger g gjøre rede fr knsekvensene ved å velge den ene kntra den andre. Her er det viktig at vi har gjrt ss pp en mening m hvilken løsning vi anbefaler g styrkene / svakhetene ved denne. Vi kan gså frsøke å argumentere ut ifra hva sm kan skje dersm bestemte tiltak ikke blir gjennmført. Knsekvensene kan frt bli veldig stre. Siden styret har det avgjørende rd g sitter på pengesekken er vi nødt til å spille på lag med dem. Knflikter i frhld til styret bringer sjelden ne gdt med seg da de trss alt er øverste rgan fr bedriften g er kaptein på skuta. Selv m vi kanskje ikke får gjennmslag fr å sette i verk alle de planer vi har lagt vil deler av disse i hvert fall være et skritt på veien i riktig retning mt en tryggere hverdag. De tingene vi ikke fikk gjennmslag fr må vi jbbe videre med g prøve å finne nye argumenter slik at styret endrer syn. Når vi ønsker å innføre nye ting er eksemplets makt str. Dersm vi klarer å verbevise styre g sørge fr at disse følger pp nye tiltak vil dette gjøre arbeidet enklere med å verbevise resten av arbeidsstkken når de ser at medlemmene i styret følger pp våre sikkerhetstiltak. 1.3.4. Øknmi Dette er alltid et vanskelig punkt g må behandles svært grundig. Vi kan neppe regne med at styret sitter med pengesekken på vidt gap g vi må slss m pengene sammen med andre ulike tiltak g investeringer i bedriften. Vi kan derfr trekke frem spesielt t viktige frhld. Vi har de direkte øknmiske begrensningene g en såkalt risikkstnad sm kan beregnes ved en risikanalyse. Risikkstnad er kstnader knyttet til en bestemt negativ hendelse. Vi har tatt med tre ( det finnes sikkert flere) ulike angrepsvinkler sm kan hjelpe ss å vinne frem. Kalkyler sm viser risikkstnaden ved ulike hendelser kntra kstnader ved sikringstiltak, kan kmme gdt med fr å få løs penger til tiltak. Her kan det frt bli snakk m millinbeløp sm kan gå tapt. Det er svært viktig at de ulike anslagene er nøkterne g edruelige slik at vi ikke tar helt av.

Innledning / rammer side 9 av 19 Vi kan begynne med å innføre de tiltak sm er billige. Etter at ledelsen /bedriften ser nytten av disse kan det bli enklere å få løs penger til nye g mer kstbare tiltak. Vi viser først at vi vet hva vi hlder på med fr å vinne styrets tillit g får dermed økt tiltr, større frihet g mer penger fra styret. Vi kan gjøre nødvendige beregninger (nåverdimetden) fr å vise ledelsen ved bedriften at investering i nytt IT-utstyr vil medføre besparelser på utgiftssiden på sikt. På denne måten vil det være lønnsmt å investere i nytt IT-utstyr. Hvr mye vi får å rutte med til sikkerhetsarbeid er gså avhengig av hva bedriften driver med g hvr lønnsm den er. Pussig nk viser tidligere erfaringer at bedrifter bruker minst penger på sikringstiltak i lønnsmme tider g er mer fkusert på dette i dårlige tider. Det er j et lite paradks. Så lenge fremtiden ser lys ut er det ikke så nøye, men når det begynner å mørkne skjerper vi ss fr å hlde hdet ver vannet. I tillegg er det hele tiden snakk m å redusere kstnader. Fr å kunne levere tjenester til avtalt nivå g lavest mulig pris er ITIL-standarden veien å gå. Denne standarden har nettpp fkus på dette. Ved å måle de tjenestene vi leverer g sammenligne dette med de nivåene sm er beskrevet i SLA-avtalene, kan vi finne innsparingsmuligheter der kvaliteten på tjenesten er fr høy. 1.3.5. Erfaringer De fleste bedrifter sm har drevet sin virksmhet en stund har etter hvert samlet et ganske mfattende erfaringsgrunnlag g statistisk materiale sm kan brukes i en risikanalyse. Det er av str betydning fr en slik analyse at man har best mulig erfaringsmateriale både fra egen virksmhet g eventuelt andre sammenlignbare virksmheter. På denne måten får man et mye sikrere utgangpunkt fr risikanalysen enn dersm man starter på bar bakke. Da blir det mer prøve-å-feile-metden. Nøyaktigheten g sikkerheten er altså avhengig av det grunnlagsmaterialet vi baserer analysen på. Diverse bransjerganisasjner er gså en kilde til infrmasjn på et generelt grunnlag i denne sammenhengen. Dersm vi gjennmfører en risikanalyse på et usikkert grunnlag er det svært viktig at vi måler effekten av de tiltak vi innfører, fr å sikre ss at de faktisk har den virkningen vi var ute etter. Samtidig er det viktig at vi gjentar risikanalysene ftere når grunnlaget er usikkert slik at vi får fanget pp viktige mmenter vi kan ha gått glipp av i første runde. 1.4. Eksterne faktrer 1.4.1. Lver g frskrifter Det er viktig at man setter seg litt inn i lver g frskrifter fr å vite hvilke krav sm stilles til ss g sikring av vårt datasystem. Selv m vi en dag registrerer at det har vært flk utenifra g hacket seg inn på våre maskiner er det ingen selvfølge at vi klarer å få dem dømt fr innbruddet. Et generelt prblem er et mangelfullt lvverk g liten erfaring i rettsapparatet til å behandle slike saker. Dersm vi skulle klare å føre bevis slik at vedkmmende ble dømt fr datainnbruddet, møter vi neste hindring sm er lave strafferammer. Til trss fr at vi her snakker m svært alvrlige frbrytelser vil vedkmmende slippe unna med en minimal straff. Her jbbes det med å få til endringer både nasjnalt g sammen med resten av Eurpa. Siden datakriminalitet ikke påvirkes av landegrenser er det viktig å samarbeide med land utenfr nrske grenser.

Innledning / rammer side 10 av 19 Fr å få dømt frbryterne må vi først sikre ss slik at vi ppdager eventuelle inntregningsfrsøk, fra eksterne persner eller frsøk på misbruk sm kmmer innenifra. Deretter må vi frsøke i størst mulig grad å sikre spr etter det sm har fregått. Videre må vi frsøke å hindre at det er mulig å gjøre det samme igjen. Fr at vi skal være best mulig rustet til å gjøre nettpp dette bør vi kjenne til i hvert fall deler av lvverket. Det sm er aktuelt fr ss når det gjelder lver g frskrifter finner dere i kapittel 3 i lærebka s 81 til s 118. Av disse lvene skal vi ha fkus på: IT-kriminalitet g straffelven Persnpplysningslven med den tilhørende persnpplysningsfrskriften Frskrift m bruk av IKT Sikkerhetslven Lv m pphavsrett til åndsverk Lv m elektrnisk signatur Persnregisterlven er ikke lenger gyldig, så den kan vi se brt ifra. Dere trenger ikke å kunne disse lvene i hdet på rams. Her det viktig at dere kjenner til bruksmrådet g innhldet på en slik måte at det går raskt å slå pp. Både i en arbeidssituasjn g til eksamen vil det være aktuelt å skissere en prblemstilling knyttet til datakriminalitet, slik at dere behersker å slå pp i disse lvene fr å se hvilke lver sm kmmer til anvendelse g hva strafferammen er i hvert enkelt tilfelle. Ne av prblematikken rundt lver g frskrifter fr IT-systemer er at vi kmmer pp i en rekke nye prblemstillinger. Har man egentlig stjålet ne dersm man har kpiert en fil? Det er j ingenting sm har blitt brte. Ingenting er heller ødelagt. Er det mulig å eie data? Hva er egentlig datakriminalitet? Stiller lven krav til sikringstiltak fr at vi skal kunne snakke m datakriminalitet? Her er det en rekke ting vi må kjenne til. Ikke minst må vi sikre våre ITsystemer slik at vi ppdager at nen eventuelt har frsøkt å tukle med dem. Manglende anmeldelser / innrapprtering Tall fra Økkrim viser at på enkelte mråder innen datakriminalitet har vi hatt en psitiv utvikling de siste årene. Det er viktig at dette ikke lurer ss til å tr at datakriminalitet generelt er på vei ned. Disse tallene dreier seg m anmeldte tilfeller. Av det ttale bildet regner man med at mindre enn 1% blir anmeldt. Dette betyr at mørketallene er enrme ne sm er dkumentert av blant andre Nrsk senter fr infrmasjnssikring (NrSIS). Tidligere var vi den situasjn at de kriminelle hvedsaklig var relativt unge g at det var denne gruppen sm står bak de fleste angrepene på bedrifters IT-systemer. Hackerne fra guttermmene rundt mkring sm vi kjenner fra film g kin, eksisterte gså i virkeligheten g var veldig aktive. De siste årene derimt har vi hatt en utvikling i retning av at hackerne har blitt langt mer prfesjnelle. Øknmisk vinning er deres mtivasjn g det har blitt en langt tøffere ppgave både å ppdage angrep g å beskytte seg mt dem. Prfesjnelle hackere pererer i det skjulte sm best de kan, mens amatørene skriker pp m de klarer å bryte seg inn et sted. Hvrfr er det så mange sm ikke anmelder datakriminelle handlinger? Alle butikker anmelder j abslutt alle uansett hvilke beløp det er snakk dersm de blir tatt fr tyveri. I

Innledning / rammer side 11 av 19 frbindelse med datakriminalitet er det fte snakk m stre beløp g i en del sammenhenger svært stre beløp. Sm svar på dette kan vi trekke frem flere årsaker. Pliti g rettsvesen Bedriften mener at plitiet har små ressurser g fr lite kmpetanse til å drive effektiv etterfrskning g ppfølging sm fører frem til tiltale Dårlig reklame å bli kjent på denne måten. Bedrifter ønsker ikke å kmme i medienes søkelys i frbindelse med kriminelle handlinger. De er gså redd fr tap av tillit både hs samarbeidspartnere g kunder. Bedriftene er redde fr å bli ppfattet sm et attraktivt mål fr denne type frbrytelser. De få sakene sm har vært ppe i rettssystemet viser at det er svært vanskelig å få frbryterne dømt på grunn av mangelfull ppdatering av lvverket. En del bedrifter har så dårlige rutiner at de rett g slett ikke ppdager at de har vært utsatt fr datakriminalitet Utviklingen innen datasektren har vært enrm g veksten nærmest eksplsiv de siste årene. Dette medfører at både pliti g rettsvesen har blitt hengende etter i utviklingen. De styrende rganer har ikke vært ppmerksmme nk g sørget fr nk ressurser til å utvikle plitietaten til å takle den nye typen kriminalitet sm har kmmet. Dette har bedret seg de siste årene g plitiet har i dag spesielle avdelinger sm tar seg av datakriminalitet, sm datakrimsenteret, g de har ansatt flk med spesialkmpetanse i data. Men de sliter stadig med å få tak i nk ressurser. I tillegg kmmer utvikling g ppdatering av lvverket i Nrge. Først etter at behvet hadde ppstått ble det satt i gang arbeid med å tette hullene i lvverket. Spesielt de første rettssakene var vanskelige, da man hadde prblemer med å finne lvhjemler sm dekket de kriminelle handlingene sm var utført. I tillegg manglet man såkalt presedens. Det vil si tidligere dmmer sm kunne styre rettspraksisen senere. På bakgrunn av dette ble det satt ned kmiteer g utvalg sm skulle ppdatere lvverket. En del av de tingene man slet med var blant annet hva er egentlig datakriminalitet? Er det rdinære kriminelle handlinger sm utføres ved hjelp av en datamaskin eller er det fysisk tyveri eller mishandling av en fysisk maskin (PC). Fr å kunne laget et lvverk sm tk seg av dette måtte slike ting avklares. En annen ting var infrmasjn. Hva er egentlig infrmasjn? Hvem eier infrmasjn? Når er infrmasjn stjålet (det er j ingen fysisk gjenstand sm er brte ved fr eksempel kpiering av en datafil)? Straffelvrådet fikk i 1983 i ppgave å kartlegge ulike frmer fr datakriminalitet g ppdatere straffelven. Hullene skulle tettes. Dette rådet valgte å dele inn datakriminalitet i følgende 3 kategrier Endring g ødeleggelse av data Urettmessig innsyn i g bruk av data Ulvlig bruk av datautstyr Resultatet av deres arbeid medførte en rekke lvendringer.

Innledning / rammer side 12 av 19 Data- eller IKT-kriminalitet representerer en trussel i dbbel frstand ettersm infrastrukturen både gir de kriminelle et skjulested g et åsted. Sm kmmunikasjnsmiddel har nettet en rekke kanaler sm plitiet i henhld til nrsk lv ikke kan trenge inn i g vervåke. De kriminelle kan således med større grad av trygghet enn ved bruk av knvensjnelle kmmunikasjnsmetder sm telefn g brev, planlegge sine frbrytelser g utveksle erfaringer ver disse kanalene. Mange infrmasjnssteder på nettet innehlder lkale beskrivelser av hvr man kan få tak i narktika, hvr plitiet har spanere g ppskrifter på mtedp. Det grenseløse nettet utnyttes gså av kriminelle innenfr en lang rekke kjente kriminalitetsmråder sm narktikamsetning, spredning av ulvlig prngrafi g annet ulvlig billed- g videmateriale i tillegg til bedragerivirksmhet g hvitvasking av penger (ver nettbanker). Samtidig har næringslivet gjrt seg avhengig av datanettverk hvr de kriminelle kan skaffe, manipulere g blkkere infrmasjn g frøve industrispinasje g sabtasje (dataangrep). Straffelven Straffelven innehlder følgende relevante paragrafer sm berører datakriminalitet. Alle paragrafer straffes med bøter eller fengsel inntil angitt år. Det finnes gså flere andre paragrafer sm er beskrevet i lærebken. 139 Unnlatelse av å avverge spinasje. 1 år 145 Brevbrudd / Datainnbrudd. 6 mnd / 2 år 145a Avlytting. 6 mnd 151b Sabtasje. 10 år 255 256 Underslag. 3 år 257 258 Tyveri. 6 år 261 Ulvlig bruk av løsøregjenstand. 3 år 270 271 Databedrageri. 3 år Persnpplysningslven Persnpplysningslven er den lven sm regulerer elektrnisk behandling av persnpplysninger. Vi skiller pr i dag mellm registre sm må meldes, søkes knsesjn fr eller er spesielt fritatt. Det er Datatilsynet sm har ansvaret fr å behandle g registrere meldinger g knsesjnsøknader Persnpplysningslven har sm hvedprinsipp at den enkelte persn skal få bedre kntrll med pplysninger m seg selv. Den enkelte har rett til innsyn, sletting g krrigering av infrmasjn sm finnes registrert m seg selv. Ofte samles det inn infrmasjn sm vi gir fra ss frivilling (fr eksempel medlemsregistre i idrettslag) g da skal det svært mye til før Datatilsynet setter nen begrensninger. I mtsetning til den gamle persnregisterlven har persnpplysningslven fått et frmål ( 1). "Frmålet med denne lven er å beskytte den enkelte mt at persnvernet blir krenket gjennm behandling av persnpplysninger. Lven skal bidra til at persnpplysninger blir behandlet i samsvar med grunnleggende persnvernhensyn, herunder behvet fr persnlig integritet, privatlivets fred g tilstrekkelig kvalitet på persnpplysninger. "

Innledning / rammer side 13 av 19 Fr å illustrere ne av innhldet i lven har vi her tatt med dine rettigheter sm registrert i et persnregister (hentet fra persnpplysningslven). Vær bevisst når du gir din tillatelse Du skal få infrmasjn fra den sm vil registrere deg Du har rett til innsyn Du skal kunne kreve at feilaktige eller mangelfulle pplysninger m deg blir rettet Du kan kreve at unødvendige pplysninger m deg blir sperret eller slettet Du skal kunne utøve dine rettigheter gratis Når du ikke frem med dine krav, eller er det ne du lurer på, kntakt Datatilsynet Videre har den behandlingsansvarlige fr et persnregister en rekke plikter det kan være greit å kjenne til (hentet fra persnpplysningslven). Behandling av persnpplysninger skal i størst mulig grad baseres på samtykke Plikt til å gi innsyn g infrmasjn Retting g sletting Infrmasjnssikkerhet Internkntrll g krav til dkumentasjn Meldeplikt Knsesjnsplikt Persnpplysningslven stiller gså en del ulike krav sm du bør kjenne til. Disse finner du i lærebken på side 92. Persnpplysningsfrskriften I frbindelse med Persnpplysningslven har vi gså en Persnpplysningsfrskrift. Hva er hensikten med en slik frskrift? J, det er ikke alltid like enkelt å tlke en lv, slik at frskriften knkretiserer g gir lven et nærmere beskrevet innhld. Det enklere fr å ss å vite hvilke tiltak vi bør sette i verk. Siden vi både har en lv g en frskrift må vi ha klart fr ss hvilken av frskriften g lven sm gjelder dersm innhldet blir tlket ulikt. Det er lven sm gjelder g sm i enhver sammenheng står ver frskriften. Dette gjelder gså generelt fr alle liknende tilfeller. Fra side 87 g utver i bken er det gjengitt en rekke paragrafer slik at dere kan gjøre dere nærmere kjent med innhldet i frskriften. En interessant ting i denne frbindelse er at frskriften pålegger ss å gjennmføre blant annet risikanalyser. Slike analyser vil vi kmme tibake til senere i kurset. Frskrift m bruk av IKT Denne frskriften har sitt pphav hs Finanstilsynet. Frskriften gjelder spesielt fr banker, kredittinstitusjner, frsikringsselskaper g børsen. Frskriften stiller blant annet krav til

Innledning / rammer side 14 av 19 risikanalyse, innkjøpsprsedyrer, endringshåndtering g kntinuitet/beredskapsplaner sm er teamer vi kmmer tilbake til i dette kurset. Knkrete paragrafer beskrives fra g med s 100 g utver i bken. Sikkerhetslven Her hever vi blikket litt slik at denne lven dekker trusler mt rikets sikkerhet. Frmålet med sikkerhetslven er å: Legge frhldene til rette fr effektivt å kunne mtvirke trulser mt rikets sikkerhet g andre vitale sikkerhetsinteresser Ivareta den enkeltes rettssikkerhet Trygge tilliten til g frenkle grunnlaget fr kntrll med frebyggende sikkerhetstjeneste På side 104 g utver i bken finner dere beskrevet ne av innhldet i sikkerhetslven. Åndsverkslven Dette er vel en lv sm alle i utgangpunktet kjenner til g sm praktisk talt alle ihvertfall har brutt. Det er den sm i utgangpunktet har skrevet dkumentet eller laget prgrammet sm eier det g sm sitter med alle rettighetene. Det skal ikke kpieres uten tillatelse fra eieren. De siste årene har det heldigvis bedret seg kraftig i frhld til hvrdan situasjnen var før. Nå begynner i hvert fall bedriftmarkedet å ha rden i egne rekker når det gjelder lisenser på prgramvare. Interessegruppene fr de sm utvikler prgramvare har brukt mye ressurser på å rydde pp i dette. Men ennå må vi vel kunne si at det gjenstår en del på privatmarkedet. Slike saker dukker pp i media fra tid til annen g den mest kjente er vel med DVD-Jn. Han (sammen med andre) la ut prgramkde sm kunne brukes til å fjerne kpisperren på DVDfilmer. Saken endte i retten g Jn ble vel så vidt vi husker frikjent. Selv etter denne episden har det gså bølget rundt DVD-Jn m tilsvarende frhld. Det spesielle fr denne lven er at strafferammene er veldig lave, bøter eller fengsel inntil 3 mnd. Mer m det knkrete innhldet på side 109 i bken. 1.4.2. Sikkerhetsrelaterte rganisasjner I dette kapitlet skal vi se litt en rekke ulike rganisasjner sm vi både må g bør ta hensyn til, i arbeidet med å sikre våre IT-systemer. Datatilsynet Datatilsynet (http://www.datatilsynet.n) har vært i virksmhet fra 1. januar 1980 g skal administrere Persnpplysningslven g Persnpplysningsfrskriften. Tilsynet består ca 40 ansatte frdelt på 4 ulike avdelinger: Pressekntakt Infrmasjnsavdelingen: mediekntakt g datatilsynet.n, samt lager diverse veiledere Tilsyns- g sikkerhetsavdelingen: gjennmfører tilsyn g gir råd g veiledning m infrmasjnssikkerhet g tekniske spørsmål m persnvern Juridisk avdeling: gjør enkeltvedtak, skriver høringssvar g rapprter g gjennmfører tilsynsvirksmhet

Innledning / rammer side 15 av 19 Omfatter gså juridisk veiledningstjeneste sm svarer på spørsmål m persnvern g består av jurister Administrasjnsavdelingne: lønn, regnskap, budsjett, sentralbrd, arkiv, biblitek, internkntrll, rapprtering g fellesfunksjner fr tilsynet Datatilsynet ledes av direktør Bjørn Erik Thn. Datatilsynet registrerer alle meldinger g knsesjnssøknader sm er det viktige fr ss i dette kurset. Datatilsynets hvedppgaver: Kntrllere at lver g frskrifter fr behandling av persnpplysninger blir fulgt, g at feil g mangler blir rettet. Hlde seg rientert m nasjnal g internasjnal utvikling når det gjelder behandling av persnpplysninger. Identifisere farer fr persnvernet, g gi råd fr hvrdan farene kan unngås eller begrenses. Være høringsinstans i saker sm berører persnvern. Delta i råd g utvalg. Bistå bransjerganisasjner med å gi råd g utarbeide atferdsnrmer fr å sikre persnpplysninger i virksmhetene. Stimulere til pprettelse av persnvernmbud g bygge kmpetanse hs mbudene. Ha en mbudsrlle mt publikum, gi råd g infrmasjn. Få viktige saker på dagsrden i media g bidra til samfunnsdebatt m persnvern. Ønsker du å lese mer m Datatilsynet g persnvern kan du gå på deres websider g søke pp Persnvernrapprten 2010. Datatilsynet figurerer fte i media g er vel i dag en mer aktuell rganisasjn enn nen gang. Nen må passe på persnvernet til hver enkelt. Finanstilsynet Finanstilsynet (http://www.finanstilsynet.n) har tilsyn med banker, finansieringsselskaper, kredittfretak, frsikringsselskaper, pensjnskasser, verdipapirhandel, eiendmsmegling, inkass g regnskaps- g revisrvirksmhet. "Tilsynet skal se til at de institusjner det har tilsyn med, virker på hensiktsmessig g betryggende måte i samsvar med lv g bestemmelser gitt i medhld av lv samt med den hensikt sm ligger til grunn fr institusjnens pprettelse, dens frmål g vedtekter." Kredittilsynslven ( 3) Finanstilsynet viderefører hvedmålene m å bidra til å sikre finansiell stabilitet g velfungerende markeder, g innfører 8 delmål:

Innledning / rammer side 16 av 19 1. Slide g likvide finansinstitusjner 2. Gd vervåking av risik i øknmi g markeder 3. Frbrukerbeskyttelse gjennm gd infrmasjn g rådgivning 4. Egnet ledelse g tilfredsstillende virksmhetsstyring i fretakene 5. Rbust infrastruktur sm sikrer betryggende betalinger, handel g ppgjør 6. Tilstrekkelig g pålitelig finansiell infrmasjn 7. Gd markedsatferd 8. Effektiv krisehåndtering Finanstilsynet er et selvstendig fagrgan sm utfører sine ppgaver i samsvar med retningslinjer trukket pp av Strtinget, Regjeringen g Finansdepartementet sm verrdnede rganer. Dersm du søker på IKT på deres websider finner du interessant materiale m risik g sårbarhetsanalyser samt presentasjner m ikt i finanssektren. Krips - Datakrimavdelingen Datakrimsenteret var tidligere det rganet sm tk seg av datakriminalitet. Datakrimsenteret ble pprettet i 1995 g den gang lagt under Økkrim. Bakgrunnen fr pprettelsen var en vesentlig økning i den registrerte kriminaliteten innenfr dette mrådet i periden 1988-94. Datakrimteamet skulle blant annet: Etterfrske, påtale g aktrere saker sm gjelder IT-kriminalitet Yte bistand til lkale plitidistrikter ved etterfrskning g påtale av IT-kriminalitet Yte bistand ved ransaking g beslag i datamiljøer g tilrettelegge fr analyse av beslaglagt materiale Delta i internasjnalt arbeid Til trss fr en kamp fr å få tildelt nk midler pparbeidet denne rganisasjnen et meget gdt rykte. Etter at nyekrips ble pprettet i 2005 ble Datakrimsenteret verført til Datakrimavdelingen. Nå i dag er det Datakrimavdelingen sm er Krips (har igjen skiftet navn) sitt etterfrskningsrgan fr litt større datakriminalitetssaker. Leder fr denne avdelingen er Rune Fløisbnn. Det finnes svært lite mtale av denne avdelingen på Krips sine nettsider. Men vi finner artikler m hva datakriminalitet er g at dette er et satsningsmråde fr Krips. "Datakriminalitet defineres gjerne sm straffbare handlinger sm begås ved utnyttelse av infrmasjnsteknlgi. Datakriminaliteten skjer fte på tvers av landegrensene. Erfaringstall fra Interpl indikerer at det i åtte av ti straffesaker innen datakriminalitet finnes spr sm leder til ett eller flere andre land. Dataanlegg kan i seg selv være mål fr den ulvlige handlingen. Et eksempel på det er ulvlig inntrengning i datasystemer fr å få tilgang til infrmasjn (datainnbrudd), eller fr å slette eller endre data (skadeverk). Infrmasjnsteknlgien kan gså benyttes sm middel til å begå tradisjnelle frbrytelser. Gjerningspersnen kan fr eksempel endre pplysningene i et dataanlegg med hensyn til hvem sm skal mtta en elektrnisk pengeverføring (databedrageri). Mye kriminalitet skjer via Internett. Eksempler på det er nettbankbedragerier g phishing. Internett brukes gså av kriminelle til å kmmunisere seg imellm g til å utveksle ulvlig materiale, fr eksempel vergrepsbilder. " Sitat fra Krips sine websider.

Innledning / rammer side 17 av 19 NrSIS - Nrsk senter fr infrmasjnssikring På bakgrunn av en vurdering av sårbarhet g avhengighet av IKT-systemer i dagens samfunn ble NrSIS pprettet. De ble etablert sm et prøveprsjekt i 2002. Hensikten var å få etablert et senter sm tk nasjnalt ansvar fr trusler mt IKT-systemer. Senteret ble etablert permanent i 2006 på Gjøvik med ca 40 ansatte. Leder fr NrSIS er fr tiden Tre Larsen Orderløkken. NrSIS tar på vegne av regjeringen ansvar fr at infrmasjnssikkerhet skal bli ivaretatt g en del av flks hverdag gjennm sitt arbeid. De fkuserer på følgende: Å bevisstgjøre m trusler g sårbarheter Å pplyse m knkrete tiltak gjennm nyheter, råd g veiledninger Å påvirke til gde hldninger innen infrmasjnssikkerhet NrSIS jbber både pp imt det private g det ffentlige. På deres websider finner dere mye nyttig infrmasjn m ulike aktuelle trusler under fanen nyheter. Videre har de utarbeidet en rekke ulike veiledninger m hvrdan man skal frhlde seg til ulike trusler. Du finner gså et leksikn sm dekker ulike sikkerhetsbegreper g tips til ulike sikkerhetsverktøy. NrCERT - Nrwegian Cmputer Emergency Respnse Team Fr å håndtere dataangrep på samfunnskritiske IKT-systemer i Nrge ble NrCERT pprettet i 2003. De har kmpetanse innenfr mråder sm IKT-sikkerhet, persnell g fysisk sikring. NrCERT utgjør Nrges nasjnale senter fr håndtering av alvrlige dataangrep mt infrastruktur g infrmasjn g er plassert i Bærum. De har ca 140 ansatte, er tilgjengelig 24/7 g er underlagt frsvarsdepartementet. NrCERT er en rganisasjn sm arbeider aktivt innen frebygging av alvrlige angrep, krdinering av respns til alvrlige IT-sikkerhetsangrep, infrmasjnsinnhenting m alvrlige sikkerhetstruende hendelser på Internett g de kan gi råd til alle sm tar kntakt. NrCERT er en perativ avdeling sm består av tre integrerte seksjner : VDI, Varslingssystem fr Digital Infrastruktur. Identifiserer, sammenstiller g varsler m dataangrep mt Nrge Seksjn frhendelseshåndtering, er Nrges nye nasjnale senter sm krdinerer hendelseshåndtering ift alvrlige IKT-sikkerhetsangrep mt viktig infrastruktur g infrmasjn i Nrge. Operasjnssenteret I krisesituasjner kan NrCERT trekke på øvrig IT-sikkerhetsekspertise i NSM NrCERT skal frberede Nrge på en IKT-krise, gjennm frebyggende sikkerhetstiltak. Det betyr at de skal bidra til å redusere samfunnets sårbarhet g dermed redusere sannsynligheten fr at denne type kriser ppstår. I de tilfellene en krise faktisk ppstår vil NrCERT kunne bidra til rask g riktig hendelseshåndtering (krdinering, respns g analyse), samt å begrense mfanget g knsekvensene av krisen.

Innledning / rammer side 18 av 19 NrCERT fkuserer på følgende ppgaver i sitt arbeid: Frebygge alvrlige angrep mt samfunnskritisk infrastruktur g infrmasjn på ITsiden, Krdinere respns til alvrlige ITsikkerhetsangrep mt kritisk infrastruktur g infrmasjn Innhente infrmasjn m alvrlige sikkerhetstruende hendelser på Internett Krdinere tidlig sikkerhetsppdatering av samfunnskritiske datasystemer Fkusere på deling av infrmasjn Til enhver tid ha et ppdatert nasjnalt IKT-risikbilde Hjelpe frem respnsmiljøer i Nrge Gi innspill til nasjnale beredskapssystemer g bistår beredskapsarbeidet NrCERT arbeider med gså med å kartlegge trusselbildet mt IKT-systemer i det nrske samfunnet. De legger ut en ppsummering av trusselbildet i et større perspektiv g kvartalsvise rapprter m de til enhver tid viktigste truslene. Se eksempel på en slik rapprt Kvartalsrapprt fr 4. kvartal 2012. Disse publiseringene er meget viktig fr ss når vi skal vurdere aktuelle trusler fr vår egen bedrift. Fr å lese mer m NrCERT sm rganisasjn kan du laste ned g lese NrCERTs brsjyre Hva er NrCERT" Næringslivets sikkerhetsrganisasjn Denne rgansisasjnen arbeider fr bedre sikkerhet g økt beredskap i alle nrske bedrifter. De har utarbeidet en rekke ulike faghefter sm dekker ulike deler av temaet sikkerhet. Se deres websider på http://www.ns.n. Der finner du blant annet deres serviceerklæring, årsrapprter g rganisasjnskart. Viktigheten av denne rganisasjnen er avhengig av hvilken bedrift vi snakker m. Men i visse tilfeller kan det være en nyttig ressurs. 1.5. Aktuelle hendelser knyttet til sikkerhet Fr å trekke frem ne av det sm fregår av hendelser sm er mtalt i media har vi pprettet en egen mappe på it s learning. Her finner du en del aktuelle hendelser knyttet til sikkerhet. Merk at dette bare er et utvalg g at det ttale bildet er veldig kmplisert. Men disse lenkene vil i hvert fall gi ss en pekepinn på hva vi kan frvente fremver g være et nyttig bakteppe fr de tingene vi skal ta pp i dette kurset. I tillegg har vi lenket inn 4 eksempler i denne leksjnen gså. Sikkerhetshull i Internet Explrer http://www.idg.n/cmputerwrld/tema/sikkerhet/article156349.ece Nasjnalt cybersenter skal ruste Nrge mt nettangrep http://www.idg.n/cmputerwrld/article156040.ece Slik bekjemper Kmplett truslene

Innledning / rammer side 19 av 19 http://www.idg.n/cmputerwrld/tema/sikkerhet/article155599.ece Slik var sikkerhetsåret 2009 http://www.idg.n/cmputerwrld/article154574.ece 1.6. Lenker Persnpplysningslven Frskrift til persnpplysningslven 1.7. Tilhørende kapitler i lærebka Kapittel Pensum Navn 3 Ja Lver g frskrifter s 81 120 4 Ja Sikkerhetsrelaterte rganisasjner 4.4.1, 4.4.5, 4.4.6, 4.4.7, 4.4.9, 4.4.10, 4.4.12