www.norsis.no www.uninett.no www.sintef.no trykk: Skipnes AS opplag: 500 prosjektleder: Elisabeth Farstad layout og foto: Grete Duna desember 2005
INNHOLDSFORTEGNELSE Forord............... 6 Et vellykket prosjekt............... 7 Sikkerhetsåret 2005 en oppsummering............... 8 Bedre nasjonal samordning.............. 11 Nytt fra det offentlige Norge.............. 12 Ledelse og sikkerhet.............. 14 Solid grunnlag for videre arbeid.............. 16 Få brukerne med på laget.............. 18 Trådløse nett til glede og besvær.............. 20 Programvaresikkerhet gå rett på sykdommen.............. 22 Botnet verktøy for organisert kriminalitet.............. 25 Samarbeid en forutsetning for sikkerhet.............. 29 Om SIS.............. 31 Publikasjoner.............. 34 Ordforklaringer.............. 34
Forord Ove Olsen, leder av SIS Da Willoch-utvalget i 2000 overleverte NOU 2000:24, Et sårbart samfunn, ble det presentert et konkret forslag om å opprette et nasjonalt senter for informasjonssikring i Norge. Ønsket var å koordinere oppgaver innen hendelsesrapportering, varsling, analyse og erfaringsutveksling i forhold til trusler mot IKT-systemer. Det ble også påpekt et betydelig behov for bevisstgjøring av IKT-brukere. Ytterligere komité- og utredningsarbeid måtte til før Senter for informasjonssikring (SIS) ble etablert som et 3-årig prøveprosjekt 1. april 2002. Senteret ble i prøveperioden lagt til SINTEF i Trondheim med UNINETT som samarbeidspartner. Ved utgangen av 2005 skal SIS over i permanent drift etter en pilotperiode på nærmere fire år. En slik anledning krever at en stopper opp og reflekterer over denne fasen i det nasjonale arbeidet med informasjonssikkerhet. Det var selvsagt knyttet mange forventninger til en virksomhet som SIS. Vi skulle betjene både offentlige og private virksomheter med forskjellig modenhetsnivå med hensyn til informasjonssikkerhet. Som prøveprosjekt har vi tillatt oss å utforske forskjellige måter å drive vår virksomhet på, og i noen tilfeller er kursen endret underveis. Verden rundt oss er også endret i denne perioden, noe som blant annet har ført til at våre oppdragsgivere har ønsket en sterkere fokusering på små og mellomstore virksomheter. Avstemming av roller og ansvar med andre myndighetsledd har også medført en betydelig endring i kontaktnettet med utenlandske aktører. Denne rapporten har som hovedmål å markere at SIS nå går over i en ny fase. Dette må ikke medføre at all utprøving er avsluttet. Brukerbehovene vil hele tiden være i endring, og senteret må utvikle seg i takt med disse. Med denne rapporten takker prosjektgruppen i SINTEF og UNINETT for seg. Det har vært spennende å være med på et så samfunnsnyttig prosjekt.
Et vellykket prosjekt Nils Holme, leder styringsgruppen for SIS Prøveprosjektet Senter for informasjonssikring går mot sin avslutning og blir fra nyttår organisert permanent i nye hender på Gjøvik. Informasjonssikring har mange dimensjoner, og organisatoriske løsninger varierer fra land til land. Nærings- og handelsdepartementet ønsket gjennom prøveprosjektet å klarlegge hvordan støtte til bedrifter og offentlig virksomhet utenfor den definerte kritiske infrastruktur best kan organiseres i vårt land. Gjennom prøveprosjektets fire år har styringsgruppen fulgt etableringen og utviklingen av driften, og som forutsatt avgitt sin vurdering til Moderniseringsdepartementet om videreføring av virksomheten. Vurderingen var basert på erfaringer fra prøveprosjektet og ble sett i sammenheng med tilsvarende virksomhet i noen andre land, og omfattet så vel faglige forutsetninger som alternativer for organisatoriske løsninger og økonomiske rammer. konkurrerende interesser for videreføringen av prøveprosjektet. En aktiv oppfølging fra departementet har vært sterkt motiverende for alle parter i prosjektet. Ove Olsen og hans medarbeidere kan se tilbake på et vel gjennomført prøveprosjekt. De kan overlevere så vel en etablert virksomhet med et bredt kontaktnett til brukere og organisasjoner, som tjenester understøttet av nettsider og annen programvare. Opparbeidingen av virksomheten har vært drevet med faglig dyktighet, godt skjønn og en innsats som er beundringsverdig. Jeg takker Ove og medarbeiderne for et godt samarbeid og ønsker de nye krefter til lykke med videreføringen. Arbeidet i styringsgruppen har vært interessant og til tider krevende for så vidt som det omfattet
Sikkerhetsåret 2005 en oppsummering Øyvind Eilertsen, UNINETT -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 id8dbqbdglqdccaskmghwlerak+9aj9wzm QZaD1Gi8gaamaZdcp25O6xGACeJqCOK+0 CO390APrhhrnMjPQNCjc==mMon -----END PGP SIGNATURE----- Mobilvirus, botnet, spyware og phishing har vært årets gjengangere i reportasjer om IT-sikkerhet. I dagspressen har det nok vært flest oppslag om mobilvirus, selv om vi ennå har til gode å se. eksemplarer som gjør virkelig skade. Botnet, spyware og phishing er allerede alvorlige problemer som hver dag skaper problemer på arbeidsplasser og svindler brukere for store beløp. Vi vil presentere noen av årets beste og verste innen IT-sikkerhet, og forsøke å titte i krystallkulen for å si noe om hva fremtiden vil bringe. Virus og ormer Første halvår 2005 registrerte Symantec vel 10000 nye virus og ormer for Windows, nesten 50 % flere enn i andre halvår 2004. I mange tilfeller dreier det seg om små variasjoner over kjente tema, men hver ny variant representerer en ny trussel som brukere, administratorer og antivirusleverandørene må forholde seg til. For å utnytte tidsrommet fra en ny virusvariant blir registrert til det foreligger oppdateringer, blir nye virus spredt ved hjelp av botnet i stort antall og over store deler av Internett. Stort sett alle nye virus foretar en «stille» infisering av vertsmaskiner. De skrur av sikkerhetsprogramvare (brannmurer, antivirus og lignende) og åpner bakdører som gir uvedkommende tilgang til maskinen, men gjør ingen direkte skade som kan gjøre at brukeren oppdager problemet. Bakdørene kan senere brukes til å innlemme maskinen i botnet. Samme virus opptrer vanligvis under en rekke forskjellige navn avhengig av hvilket antivirusprogram man bruker, noe som ikke akkurat gjør ting lettere for vanlige brukere. For å minske forvirringen, har USAs nasjonale sikkerhetstjeneste, US-CERT, etablert Common Malware Enumeration (CME), som vil gi hvert virus et entydig referansenummer. Dermed blir det vesentlig enklere å sammenholde informasjon fra forskjellige kilder. Virus for mobiltelefoner var en gjenganger på IT-sidene i dagspressen. Det ser dessverre ut til at produsentene av mobiltelefoner og håndholdte datamaskiner (PDA-er) er i ferd med å gjenta mange av de samme feilene som har bidratt til virusproblemene i pc-verdenen. F-Secure har registrert rundt 90 forskjellige mobilvirus, men ingen som gjør vesentlig skade. Nesten alle mobilvirus angriper telefoner som kjører operativsystemet Symbian. Nokia, som i stor grad
bruker Symbian i avanserte telefoner, har inngått en avtale med Symantec om å levere nye telefoner med antivirusprogram installert. Med økende bruk av lynmeldinger (instant messaging) både privat og på jobben, følger flere tilfeller av ondsinnet programvare. Vi har sett et stort antall ormer som spres gjennom blant annet MSN Messenger. Blant de mest utbredte er Kelvir og Bropia, som installerer såkalte trojanere på infiserte maskiner. Botnet Utbredelsen av botnet, som er nettverk av kompromitterte og fjernstyrte maskiner, øker stadig. Botnet brukes i stor grad til tjenestenektingsangrep, spredning av virus og spam, og til phishing. I oktober ble tre personer i Nederland arrestert for å ha operert botnet med til sammen 1,5 millioner maskiner! Maskinene var blant annet blitt brukt til utpressing ved å true med tjenestenektingsangrep, og til å stjele passord og kredittkortdata. Phishing nå også på norsk Det totale volumet av phishing øker sterkt; Symantec har registrert en dobling fra andre halvår 2004 til første halvår 2005. Phishing har i hovedsak vært et problem i den engelskspråklige delen av verden, men mye tyder på at svindlerne er i ferd med å utvide målgruppen til andre land og språk. I Norge benytter en meget stor andel av bankkundene nettbank, og de utgjør derfor et fristende mål. I løpet av 2005 har vi sett to tilfeller av phishing-forsøk mot DnB NOR, henholdsvis i mars og september, og ett mot Eurocard Norge. Dessuten ble det gjennomført et angrep mot Nordea Sverige i oktober. Nordiske nettbanker er gjennomgående bedre beskyttet enn amerikanske, men angrepet mot Nordea illustrerte hvordan det er mulig å «høste» engangskoder som svindlerne senere kan bruke for å få tilgang til konti. SIS regner med at det vil komme mange flere slike tilfeller fremover, og at bakmennene vil legge mer arbeid i å få svindelmeldingene til å se ekte ut, blant annet med bedre språkføring. Det er også rimelig å forvente at andre former for elektronisk identitetstyveri i Norge vil øke i tiden fremover. Pharming neste generasjons phishing? Mens phishing retter seg mot sluttbrukere og kontoinnehavere, gjør pharming det mulig å kapre alle forsøk på å nå et bestemt nettsted. Maskiner som er tilknyttet Internett har en entydig adresse, IP-adresse, som består av tall. Siden slike adresser er vanskelige å huske for mennesker, har de fleste nettsteder et domenenavn, for eksempel www. norsis.no. Navnetjenere (DNS-maskiner) oversetter domenenavn til IP-adresser. Dersom en slik DNS-maskin blir kompromittert, kan den sende alle forespørsler til www.nettbanken.no til en falsk side som kan stjele kontonummer, passord og lignende fra et stort antall kunder. I forbindelse med en kartlegging av DNS-maskiner som ble offentliggjort i august, ble det hevdet at rundt 10 % av maskinene var sårbare for såkalt hurtiglagerforgiftning (cache poisoning), som muliggjør pharming-angrep.
10 Søppelpost Problemet med søppelpost (spam) øker ikke like raskt lenger, men det er heller ikke registrert noen vesentlig nedgang i volumet. Skjerpet lovgivning i flere land og økende oppmerksomhet om problemet, blant annet flere høyt profilerte arrestasjoner i USA, inngir et visst håp om at e-post fremdeles kan brukes til noe fornuftig. Utsending av spam blir i stor grad gjort ved hjelp av kompromitterte botnet. For å unngå å bli oppdaget, blir spamprogramvare mer og mer sofistikert, for eksempel ved at bare en del av maskinene er aktive til enhver tid, og ved at hver maskin sender ut spam bare i korte tidsrom. Integrasjon kontra sikkerhet Integrasjon er et av de heteste temaene innenfor sikkerhetsbransjen. Det er en kjent sak at sikkerhet blir vanskeligere å håndtere desto mer komplekst systemet er. Håndtering av sikkerheten innen ett system eller en organisasjon kan være komplisert nok, men når systemer fra forskjellige organisasjoner kobles sammen, får vi både økt kompleksitet og et endret trusselbilde. SIS mener at dette er en av de viktigste sikkerhetsmessige utfordringene i årene som kommer. Spyware Spyware er programmer som blir installert på maskinen uten at brukeren vet det, og som samler forskjellige typer informasjon om brukeren og sender den fra seg. Denne type programmer blir ofte installert samtidig med andre attraktive programmer. Selv i de tilfellene hvor spyware ikke avlytter sensitiv informasjon, bruker programmene systemressurser. En rekke undersøkelser har vist at mange pc-er er plaget med svært mye adware og spyware, og at dette er i ferd med å bli et alvorlig problem. En undersøkelse blant amerikanske IT-ledere og -brukere fant at spyware og lignende ikke-autorisert programvare kostet bedriftene hele 130 000 dollar per måned i gjennomsnitt. Antall spywareproblemer øker dobbelt så raskt som virushendelser, og 77 % svarte at de hadde hatt en eller flere hendelser som følge av spyware i løpet av de siste seks månedene. Vinningskriminalitet på Internett SIS har flere ganger rettet oppmerksomheten mot at en stadig større del av sikkerhetsproblemene på Internett bunner i vinningskriminalitet, og at organiserte kriminelle i stor grad har overtatt for nerder på gutterommet. Dette illustreres blant annet av at en stadig større andel av ondsinnet programvare inneholder funksjonalitet for økonomisk gevinst, for eksempel ved logging av tastetrykk for å kunne stjele personlige data og passord til bestemte nettsider. SIS ser en utvikling i retning av at ondsinnet kode har vært forsøkt brukt til industrispionasje. Det britiske National Infrastructure Security Coordination Centre (NISCC) advarte i juni mot trojanere som ble spredt i e-post med innhold som rettet seg direkte mot mottakerens arbeid og interesser.
11 Bedre nasjonal samordning Petter Kongshaug, administrerende direktør UNINETT UNINETTs innsats i SIS har vært motivert ut fra to ulike forhold. For det første ønsket vi å bidra til å samordne de tunge sikkerhetsfaglige miljøene vi har i Trondheim, slik at miljøene ved NTNU, SINTEF og UNINETT kunne komme nasjonen bedre til nytte. For det andre hadde vi etter flere år med operativ drift av UNINETT CERT sett behov for en nasjonal samordning av sikkerhetsaktiviteten mellom norske internettoperatører. Vårt internasjonale sikkerhetsnettverk hadde fungert godt gjennom mange år, men vi savnet et tilsvarende nasjonalt nettverk. I løpet av denne første SIS-perioden har avhengigheten av internettinfrastrukturen i Norge bare økt. Ingen betviler at denne infrastrukturen er minst like viktig som annen samfunnsmessig infrastruktur og derfor må håndteres på en sikkerhetsmessig forsvarlig måte. Gjennom SISsamarbeidet har vi bidratt til å sette fokus på akkurat dette. SIS har bidratt til en bedre problemforståelse når det gjelder den operative nasjonale sikkerhetskoordineringen, og sikkerhetssamarbeidet mellom partnerne i regi av SIS har vært nyttig og bør fortsette. Vårt skisserte løsningsforslag om en samlokalisering av UNINETT CERT og et nasjonalt CERT ble ikke valgt av oppdragsgiver. Uavhengig av organisasjonsmodell vil UNINETT også i framtiden bidra til nasjonal koordinering på området.
12 Nytt fra det offentlige Norge Innskjerping av markedsføringsloven. Fra 1. februar 2005 ble markedsføringsloven endret slik at det nå er forbudt å sende e-postreklame (spam) til alle fysiske personer uten at de på forhånd har samtykket. Det har lenge vært forbudt å sende spam til privatpersoner, men de nye reglene omfatter også bedrifter. Det finnes imidlertid fremdeles et smutthull for enkeltpersonsforetak. Endringen kommer som en følge av EU-direktivet om personvern og elektronisk kommunikasjon.. nettvett.no, et nettsted for trygg bruk av Internett Nettvett.no, et nettsted som skal veilede både privatpersoner og bedrifter om hvordan de kan bruke Internett på en trygg måte, ble etablert i april 2005. Post- og teletilsynet har ansvaret for å lage og drive nettstedet, mens SIS og flere andre aktører har bidratt i arbeidet. På nettstedet finnes det informasjon om blant annet sikker surfing, e-post, brannmurer, spam, virus, fildeling, chatting og e-handel. Dessuten beskrives temaer som er mer direkte rettet mot virksomheter, som risikoanalyse, sikkerhetsstrategier og hendelseshåndtering.
13 Norge får nasjonal akuttberedskap I forslaget til statsbudsjett for 2006 er det satt av fem millioner kroner til et nasjonalt CERT, NorCERT, som skal håndtere IT-sikkerhetshendelser mot kritisk infrastruktur i Norge. Den nye enheten skal legges under Nasjonal sikkerhetsmyndighet og skal integreres med Varslingssystem for digital infrastruktur. Den viktigste tjenesten fra NorCERT er rask varsling og rådgivning ved hendelser som virusspredning, nyoppdaget programvaresårbarhet eller IT-angrep rettet mot kritisk infrastruktur. Permanent SIS Regjeringen vedtok i august at Senter for informasjonssikring (SIS) fra 1. januar 2006 skal reetableres på permanent basis i Gjøvik kunnskapspark og Bluelight/NISlab ved Høgskolen i Gjøvik. SIS skal ha ansvar for kompetanseutvikling, informasjonsutveksling og rådgivning av forebyggende art. Målgruppen er primært små og mellomstore virksomheter i privat og offentlig sektor, herunder kommunene.
14 Ledelse og sikkerhet Hva er målet med sikkerhetsarbeidet? Ove Olsen, SINTEF IKT -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.2 (GNU/Linux) owgbwmvmwcryokazkupxucdjgukkbv+y 1PjizPS81KIS596mUiBXwT+nODWPq8Oe mzubjartlsiu4ckwyjl6ykqb4nntc2bs8xq8 6kDbVcFr7QwLHkw3Fp+x71bd4pYz F24bKB9lvLj0JQA= =/KkP -----END PGP MESSAGE----- I stedet for en lengre teoretisk definisjon, velger jeg å si at målet er å styre og helst redusere. risiko. Dette leder også til en lettere begrunnelse for å akseptere at risikostyring er en naturlig del av lederansvaret. Risikostyring De fleste virksomheter benytter IKT som støtteverktøy for å nå virksomhetens mål. Å styre risiko forbundet med bruk av IKT i virksomhetsutøvelsen er en kritisk faktor for måloppnåelse. Dette vil være den primære hensikten med risikostyringsprogrammet. Risikostyring innen IKT må ikke behandles som en teknisk funksjon som ivaretas av IKT-eksperter, men inngå som en integrert del av virksomhetens styringssystem. Policy for informasjonssikkerhet Ledelsens hensikt og mål for arbeidet med informasjonssikkerhet skal være nedfelt i en egen policy. Denne skal vise ledelsens engasjement og forpliktelse til å gjennomføre nødvendige tiltak. Dokumentet, som inngår i virksomhetens styringsdokumenter, skal kommuniseres til alle medarbeidere, og gjerne også til eiere og forretningsforbindelser. Dette krever at dokumentet har et budskap som er lett å kommunisere. I tillegg må det være så konkret at det forankrer alle tiltak som iverksettes innenfor området informasjonssikring. Risikostyring som begrep må konkret beskrives, gjerne med krav om at internasjonale standarder skal legges til grunn. Forretningsmål Hvilken motivasjon har virksomheten for å satse på sikkerhetstiltak? I tillegg til å kunne styre risiko, må sikkerhetsarbeidet også være forankret i forretningsmålene. Det beste er å utrede hvilke konsekvenser de forskjellige risiki har for virksomhetens mål. Det å redusere risiko må gi virksomheten klare konkurransefortrinn. Dette er ikke vanskelig å innse logisk, men vanskelig å avdekke i den daglige virksomheten. Måling I mange sammenhenger ser vi at sikkerhetsbudsjettet tas som indikasjon på at virksomheten tar de rette grepene om sikkerheten. Sannheten er at høye kostnader til sikkerhetstiltak ikke nødvendigvis bedrer sikkerheten. Hvordan skal en vurdere om en virksomhet gjør de riktige tiltakene i sitt sikkerhetsarbeid? Og hva er rett sikkerhet?
15 Alle tiltak innen informasjonssikring skal være motivert av behov for å styre risiko. Først når en har klart å styre risikoen dit en ønsker, kan en si seg fornøyd med sikkerhetstiltakene. Dette krever at en bestemmer seg for hvilke parametere som skal uttrykke risikobildet. Dette må være parametere som er målbare og som kan kommuniseres internt i virksomheten. Risikostyringen blir ikke effektiv uten at den inngår som en integrert del av ledelsesprosessene i virksomheten. Dette betyr at enhver leder skal kartlegge og evaluere risikoen innen egen enhet. I den grad det er avvik fra akseptert risikonivå, er lederen ansvarlig for å iverksette nødvendig risikostyring. Effekten av dette skal dokumenteres og inngå i etablerte rapporteringsrutiner. Det er viktig at slike rapporteringsrutiner er etablert på alle ledernivåer. Det vil aldri være noe mål at virksomheten skal dokumentere null-risiko. Målet for risikostyringen er å kjenne hvilken risiko man er utsatt for og styre mot det nivået som kan aksepteres. Balansert målstyring er etter hvert tatt i bruk i mange virksomheter. Det er min mening at risikomål må inngå i måltavler som presenteres, og selvfølgelig inngå som kriterium i eventuelle bonusprogrammer. For å motivere hele organisasjonen i risikoarbeidet, må måltavlen kommuniseres jevnlig til alle ansatte. Verktøy Høy middels Lav. Sannsynlighet Effektiv risikostyring forutsetter støtteverktøy som kan sikre prosessen. Dette må omfatte støtte til vurdering og dokumentasjon av trusler, til analyse og dokumentasjon av adekvate tiltak, samt oppfølging av disse. For alle forhold må det etableres rapporteringsrutiner som gir relevant input til de forskjellige fasene i prosessen. Linje kontra stab Lav middels Høy. Konsekvens Et risikodiagram gjør bildet mer oversiktlig Mange norske virksomheter har i dag etablert en sikkerhetssjef i en stabsfunksjon, og mener med dette å ha plassert ansvaret for sikkerhetsarbeidet. For noen virksomheter ser vi at denne funksjonen også har alt resultatansvar for investeringer i sikkerhet. Jeg mener dette er uheldig. Ved å fjerne ansvaret for sikkerhetsinvesteringer fra linjeorganisasjonen, risikerer en å miste motivasjonen for å se de bedriftsøkonomiske resultat av tiltakene. Kostnader ved sikkerhetsbrudd må belastes den enhet som er ansvarlig for hendelsen. Dette vil være den beste motivasjon for å iverksette tiltak for å redusere risiko. For bedre å markere ansvaret for sikkerhetsarbeidet, kan det være aktuelt å omdøpe sikkerhetssjefen til ansvarlig for risikostyring. Peter Drucker: «A decision that does not involve risk, probably is not a decision.» Kritisk ikke akseptert Må følges opp Kan aksepteres
16 SOLID GRUNNLAG FOR VIDERE ARBEID Aage Jostein Thunem, konserndirektør SINTEF IKT Senter for informasjonssikring (SIS) har gjennom den initielle fasen klart bevist sin berettigelse. Bruken av Internett øker sterkt, og den enkelte benytter Internett til å utføre stadig flere daglige oppgaver og tjenester. Fokus på informasjonssikkerhet og økt bevissthet rundt hvordan vi opptrer i cyberspace, gjør at SIS i tiden fremover vil spille en viktig rolle i en samlet nasjonal plan for informasjonssikkerhet. til SIS, og som gjennom fremragende innsats har lagt et solid grunnlag for dette viktige arbeidet. SINTEF ønsker SIS lykke til videre. Det personell som fra starten av har etablert og bygget opp SIS sitt tjenestetilbud, har høstet meget gode tilbakemeldinger fra så vel brukere som nasjonale og internasjonale aktører og samarbeidspartnere. Det nære samarbeidet som SIS, gjennom NTNU og SINTEF, har med ledende internasjonale undervisnings- og forskningsmiljø, har vært viktig i etableringsfasen. SINTEF og samarbeidspartnerne NTNU og UNINETT har et stort antall forskere med daglig fokus på informasjonssikkerhet og sårbarheter i cyberspace. Jeg benytter også anledningen til å rette en stor takk til myndigheter, samarbeidspartnere og ikke minst til de medarbeidere som har vært knyttet
17 Medarbeidere i SIS ved utgangen av 2005, fra venstre: Cand. scient. Øyvind Eilertsen, UNINETT, sivilingeniør Maria B. Line, SINTEF IKT, sivilingeniør Martin Gilje Jaatun, SINTEF IKT, dr. ing. Odd Helge Longva, SINTEF IKT, daglig leder Ove Olsen, SINTEF IKT, Master i teknologi, sivilingeniør Inger Anne Tøndel, SINTEF IKT og PhD-stipendiat Lillian Røstad, SINTEF IKT
18 Få brukerne med på laget Inger Anne Tøndel, SINTEF IKT -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.2 (GNU/Linux) owgbwmvmwcryokazkupxucdjgq0kic+8 9NSieMe8vNT44sz0vNSiEufeplSwqAJI VCHkR15Kag5Xhz0zKwNICqZbkOnLZIZ5ygUiFy6x87nsdN0e8uHYW/sX/okHGObw 9mdFmJt8zW3Mubfzf+aW7yuVZeUA =M25F -----END PGP MESSAGE----- IT-sikkerhet forbindes ofte med antivirus og brannmur. Men slike løsninger hjelper ikke mot alle sikkerhetsproblemer og kan sjelden bøte på dårlig sikkerhetsoppførsel. God og effektiv. sikkerhet får man først når de ansatte blir en del av forsvarsverket..bbcnews april 2004:. «Passwords revealed by sweet deal» I en undersøkelse utført ved Liverpool Street Station i London, var 70 % villige til å røpe passordet sitt i bytte mot en sjokolade. Noen ga bort passordet uten noen form for belønning, mens andre røpet villig vekk at de hadde brukt navn på barn eller kjæledyr som inspirasjon. Navn på familiemedlemmer, kjæledyr eller fotballag var mye brukt blant de som ble spurt, mange brukte samme passord over alt, og mange skrev det ned..computerworld mars 2005: «Sluttbrukere lurer IT-sjefen» IT-sjefer kan ofte ha et feil bilde av hvordan ITsystemer brukes i praksis. En undersøkelse blant brukere og IT-sjefer i 200 nordiske bedrifter om lagring av informasjon og sikkerhetskopiering, viste at IT-sjefene antok at bare to prosent av brukerne lagret data lokalt på sine egne PC-er i stedet for på sentrale servere. Da man spurte brukerne, fant man at tjue prosent lagret over halvparten av dataene lokalt på pc-en, og at svært få tok sikkerhetskopi av disse dataene. Samtidig sa mer enn halvparten av brukerne at det å miste data ville være «en katastrofe». Virksomheter har gode rutiner for å ta sikkerhetskopi av servere, men dette er altså ikke tilstrekkelig hvis rutinene omgås av de ansatte. Aftenposten, forbruker.no, september 2005: «Ville svindle bankkunder» Vi har opplevd det første phishing-angrepet i norsk språkdrakt. Målet denne gang var DnB NOR sine kunder. Med en falsk e-post og en falsk nettside skulle man lure kundene til å gi fra seg personlige opplysninger og kortinformasjon. Disse opplysningene kunne så brukes videre i svindelforsøk. Etter phishing-angrepet uttalte informasjonsdirektøren i DnB NOR at de håpet kundene var bevisste på at banken aldri vil be om slike opplysninger. Sikker oppførsel avhenger av kunnskap For å kunne opptre på en god måte med tanke på å beskytte egen og virksomhetens informasjon, er det nødvendig med kunnskap. Vi som jobber med IT og informasjonssikkerhet kan ikke ta for gitt
19 at alle intuitivt skjønner hvordan de bør opptre i ulike situasjoner, eller at de har en oppfatning av at informasjonssikkerhet er nødvendig. Hvorfor er mitt passord viktig? Jeg har da ikke lagret noe særlig viktig informasjon. Hvorfor skal jeg lagre data sentralt? Jeg bruker jo alltid den samme pc-en. Jeg må jo stole på banken min. Når de ber meg om opplysninger har de sikkert en grunn til det. At dette er feilslutninger er åpenbart for oss som har kunnskap om hvordan IT-utstyr og Internett virker. Dessverre er det ikke så åpenbart for den som ikke sitter med tilstrekkelig kunnskap. God og effektiv informasjonssikkerhet er avhengig av den enkelte. Det hjelper lite med dyre tekniske løsninger dersom brukerne er uforsiktige med passord, laster ned skadelig programvare, røper viktig informasjon til potensielle angripere, setter opp åpne trådløse aksesspunkt på kontoret, eller omgår sikkerhetsmekanismer de mener er tungvinte. Mr. Byrnes i MetaGroup hevder at 30 % av IT-sikkerhet er relatert til teknologi, mens 70 % er relatert til hva mennesker gjør. Andre sier forholdet er 20/80 eller 10/90. Hvordan henger så dette sammen med satsingene på sikkerhet i virksomheter? I en undersøkelse utført av Ernst & Young i 2004 er det kun en tredel som nevner bygging av sikkerhetskultur når de skal beskrive sine viktigste satsingsområder. Bygging av sikkerhetskultur Sikkerhetskultur handler om holdninger, kunnskap og atferd, og dette er ting det tar tid å endre. Stortingsmelding nr. 7 (2001 2002) Om helse, miljø og sikkerhet i petroleumsvirksomheten sier: «( ) det ledelsen systematisk gir oppmerksomhet og prioritet, blir kultur.» Det må med andre ord foregå over tid, det må synes, og det må ha status som viktig. Som fagperson er det mange feller å gå i når man skal kommunisere med mennesker som ikke har samme bakgrunnskunnskap som en selv. Det krever tålmodighet, det krever evne til å prioritere for å få fram et klart og tydelig budskap, og det krever evne til å formidle. Virkemidlene er mange: intranett, internaviser, e-post, brosjyrer, plakater i oppholdsrom og på dodører, musematter, skjermsparere, miniforedrag og konkurranser. Samtidig er kanskje det personlige møtet aller viktigst. Brukere rundt om i organisasjonen må oppleve at IT-personell er tilgjengelige og imøtekommende, og at de blir tatt på alvor selv om de stiller «dumme» spørsmål. Men uansett tilgang på virkemidler; for å lykkes med å bygge god sikkerhetskultur i en virksomhet, må ledelsen på banen. Det ledelsen systematisk gir oppmerksomhet og prioritet, blir kulturen i virksomheten. Det å bygge sikkerhetskultur er et langsiktig arbeid. De umiddelbare gevinstene kan synes små, men på lang sikt får man en organisasjon der de ansatte er en sikkerhetsressurs i stedet for en sikkerhetstrussel. For å lykkes må brukerne med på laget.
20 Trådløse nett til glede og besvær Martin Gilje Jaatun, SINTEF IKT -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.2 (GNU/Linux) owgbwmvmwcryokazkupxucdjgo0kpt/ EopLMvPjizPS81KIS594mSYiIgntmTlaq gldiyklphlehptmra0gspleqkwsrw4k3zr9- blascrgf1l/x5+porh0cwdabdhp4w icnogdcc71+f+kmvn3om0jnsqwa= =/jmq -----END PGP MESSAGE----- Til tross for et dårlig sikkerhetsrykte, kan. moderne løsninger for trådløse lokalnett gi vel så god sikkerhet som kabelnett. Stadig flere har oppdaget fordelene ved trådløse nett, både hjemme og på jobb. Man slipper å borre hull i vegger og strekke kabler; og ettersom det i dag knapt selges bærbart datautstyr som ikke har innebygd trådløskort, blir det også vanligere å surfe på Internett fra uvanlige steder. Moderne mennesker krever etter hvert å kunne koble seg til verdensveven til enhver tid, uansett hvor de måtte befinne seg. Trådløse nett som konsept er brukervennlige, men dessverre er det oftest slik at brukervennlighet og sikkerhet er omvendt proporsjonale størrelser. Mange trådløse aksesspunkter rettet mot privatmarkedet og mot små og mellomstore bedrifter har tradisjonelt fulgt paradigmet «skru-på-så-virker-det». Dette er jo svært praktisk for den som installerer det trådløse nettet, men også tilsvarende praktisk for utenforstående som ønsker å låne nettaksess uten å spørre om lov. Det er irriterende at naboen kan surfe gratis, men mer alvorlig er det at ditt åpne trådløsnett er et sikkerhetsproblem. For virksomheter i sentrumsnære strøk, vil gratispassasjerer kunne medføre så stor ekstrabelastning at det resulterer i betydelig redusert ytelse for legitime brukere. Dessuten vil et usikret trådløsnett kunne brukes som utgangspunkt for datainnbrudd eller spredning av virus, spam, piratkopiert multimedia eller barneporno, og du som eier sitter igjen med bevisbyrden for straffbare handlinger som er begått fra ditt usikrede nett. For en virksomhet vil negativ presseomtale kunne utgjøre betydelige summer i form av tapt omdømme, uavhengig av hva påtalemakten til slutt måtte bestemme seg for. Tidligere sa vi at siden det er så få som benytter seg av sikkerhetsmekanismene i trådløse aksesspunkter, så vil det for privatpersoner være godt nok å bruke WEP-krypteringen som tilbys i eldre utstyr (IEEE 802.11b). Imidlertid vil en målrettet angriper kunne bryte den beskyttelsen WEP
21 representerer i løpet av få minutter, så ingen virksomhet bør operere aksesspunkter som baserer sikkerheten på WEP. Selv om «mørketallsundersøkelsen» fra 2003 antyder at mer enn 30 % av norske virksomheter unnlater å sikre sine trådløse nett, er det signaler om at den økte oppmerksomheten rundt problemet har medført at langt flere nå bruker de sikkerhetsmekanismene som er tilgjengelige. Ulempen er at dette dessverre hever lista for alle andre. Når det ikke lenger finnes tilstrekkelig mange åpne aksesspunkter, vil angriperne fokusere på det svakeste leddet: WEP. Dette betyr at vi nå er fristet til å anbefale også privatpersoner å kaste sine 802.11b-aksesspunkter og spandere et som slutter på «g» i stedet. Det er imidlertid viktig å merke seg at det ikke er bare å kjøpe seg bort fra problemet; gode rutiner for nøkkelhåndtering og oppdatering er nødvendig, også med de riktige mekanismene i bunnen. Store og små virksomheter bør ta seg tid til å sette seg inn i hvilke muligheter man har til å kombinere 802.1X, WPA og AAA-tjenester som RADIUS. Et lite hjertesukk: Hvorfor kan ikke produsentene av trådløse aksesspunkter levere disse ferdig konfigurert med en unik krypteringsnøkkel? Hvis det er mulig å levere nettverkskort med unike MAC-adresser, burde ikke krypteringsnøkler være stort vanskeligere. Sikkerhet ikke er noe man oppnår én gang for alle, det krever kontinuerlige forbedringer.
22 Programvaresikkerhet gå rett på sykdommen Lillian Røstad, SINTEF IKT andel av disse er sårbarheter i programvare. Det er verdt å merke seg at også mange av forsvarsmekanismene som brukes er programvare, og at det ofte er sikkerhetsfeil i sikkerhetsprogramvare. -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.2 (GNU/Linux) owgbwmvmwcryokazkupxucdjgpukfp/ MnJzMxLz44sz0vNSiEufepiiokELQj+KS xbsudntmvgaqoeyfinohcwwlokue84mof HW2byhqT5HLFFNln6DOML+ucvvXhepi N9Ya+B7wOh2g3vNNSgoA =7ERH -----END PGP MESSAGE----- Sårbarheter i programvare utnyttes av angripere som bryter seg inn i systemer for å spre ormer og virus. Med andre ord er sårbar programvare kilden som muliggjør mange av sikkerhetsproblemene vi sliter med i hverdagen. Frem til nå har man valgt å beskytte systemer mot angrep ved å sette opp forsvarsmekanismer rundt systemet i form av brannmurer og systemer for innbruddsdeteksjon. Dette er et klassisk eksempel på at man forsøker å kurere symptomene i stedet for det egentlige problemet. Programvaresikkerhet handler om å designe og bygge programvaresystemer som er motstandsdyktige mot angrep. Figuren på neste side viser antall rapporterte sårbarheter fra 1995 til første halvår 2005. En stor Over og ut med penetrate-and-patch Vanlig praksis for å håndtere sårbarheter i programvare har hittil vært det vi kaller penetrateand-patch. Vent til noen oppdager sårbarheter i programvaren, lag en sikkerhetsoppdatering som fikser problemet, gjør oppdateringen tilgjengelig for kundene, vent så på at neste sårbarhet blir oppdaget. Dette er en løsning som både er dyr og dårlig, og et godt eksempel på hvor vanskelig det er å legge på sikkerhet etter at et produkt er ferdig utviklet. Det har vært flere eksempler på at en sikkerhetsoppdatering som utbedrer én sårbarhet samtidig lager nye. Så langt har forbrukere og kunder av programvarefirmaene funnet seg i denne fremgangsmåten, men dette er i ferd med å snu. Løsningen er kunnskap Mangelen på kunnskap blant systemutviklere er et hovedproblem. På Secure Software Forum (www.securesoftwareforum.com) i februar 2005 la representanter for Microsoft og Oracle skylden for problemene med usikker programvare på universitetene. Dette er vel ingen udelt sannhet, men faktum er at det er fullt mulig å fullføre en grad som programmerer eller systemutvikler uten å lære noe som helst om sikkerhet. SIS har satt fokus på dette her i Norge, blant annet gjennom et oppslag i Computerworld 19.11.2004.
23 5000 4000 3000 2000 estimat tre første kvartal 1000 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 Antall årlige sårbarheter rapportert til CERT/CC fra 1995 t.o.m. første halvår 2005 Noen råd Sikkerhet i programvareutvikling er viktig på to nivåer: 1. På et overordnet prosessnivå handler det om å bruke risikostyring og risikoanalyse som et verktøy for å foreta bevisste valg som påvirker sikkerhet.
24 Vedlikehold og videreutvikling Risikostyring Krav Prosess for utvikling av sikker programvare Design 2. I hver enkelt delprosess må man innarbeide spesifikke teknikker for å ta vare på sikkerheten: Krav: krav til sikkerhetsfunksjonalitet og sikkerhet (motstandsdyktighet mot angrep) som kvalitetskrav. Design: en sikrere og mer robust design ved hjelp av gjeldende retningslinjer for sikkerhet i design (mest hensiktsmessig struktur, tillit mellom komponenter etc.) Testing Implementasjon Implementasjon: krever detaljkunnskap om kjente sikkerhetsproblemer i programmeringsspråk som brukes og hvordan man kan unngå dem. Testing: bør gjøres spesifikt med tanke på sikkerhet. Testerne bør ha tilgang til informasjon om systemets design. Iterativ prosess for utvikling og vedlikehold av sikker programvare Vedlikehold og videreutvikling: bør trigge en ny runde gjennom alle faser der all dokumentasjon oppdateres slik at man kan få oversikt over konsekvensene av endringer som er gjort. Risikoanalyse: bør brukes som et verktøy i alle faser for å prioritere krav, designvalg, løsninger og hvilke tester som er viktigst.
25 Botnet verktøy for organisert kriminalitet Øyvind Eilertsen, UNINETT -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 id8dbqbdglqdccaskmghwlerak+9aj9wzm QZaD1Gi8gaamaZdcp25O6xGACeJqCOK+0 CO390APrhhrnMjPQNCjc==mMon -----END PGP SIGNATURE----- I oktober 2005 ble tre nederlendere arrestert for å ha drevet botnet med over 1,5 millioner maskiner. Men hva er et botnet, hvordan får man kontroll over 1,5 millioner maskiner, og hva bruker man dem egentlig til? Vi forsøker å svare på disse spørsmålene for å kaste lys over en av de mest alvorlige truslene mot alle som bruker Internett. Bruken av botnet illustrerer også hvordan bildet av en kvisete tenåring som driver elektronisk hærverk fra gutterommet er blitt erstattet av velorganiserte kriminelle som bruker Internett som en arena for vinningskriminalitet. Hva er et botnet? En bot (fra robot) eller zombie er en maskin som er kompromittert og kan kontrolleres eksternt. Et botprogram som på en eller annen måte er blitt installert på maskinen åpner en kanal (port) mot omverdenen. Gjennom denne kanalen mottar botprogrammet instruksjoner, for eksempel om å laste ned nye oppdateringer, sende ut virus og e-postreklame (spam) eller delta i tjenestenektingsangrep mot utvalgte nettsteder. Et botnet er en samling av boter som blir kontrollert av en eller flere personer eller maskiner. Til enhver tid er mange hundre tusen maskiner over hele verden aktive i botnet uten at de legitime eierne kjenner til forholdet. Botnet blir rutinemessig leid ut eller omsatt i kriminelle miljøer. Botprogrammer er gjerne instruert til å lytte på bestemte kanaler på Internet Relay Chat (IRC) eller koble seg til peer-to-peer-servere, for eksempel Gnutella. Gjennom disse kanalene kan den som kontrollerer botnettet sende ut kommandoer og oppgradere botene med nye funksjoner. Hvordan bygge opp et botnet? Mange forskjellige teknikker er i bruk for å rekruttere nye boter. De aller fleste virus installerer bakdører på infiserte maskiner som gjør det mulig for angripere å få tilgang til maskinen uten at eieren vet om det. En bakdør blir typisk realisert ved at virusprogrammet åpner en port mot omverdenen og lytter på den. Gjennom et slikt aksesspunkt er det mulig å laste ned og installere et botprogram. Når botprogrammet er installert på en maskin, er en av hovedoppgavene å finne nye maskiner det kan spre seg til. Botprogrammet skanner alle
26 maskiner i nærheten, for eksempel på samme lokalnett, etter åpne bakdører og maskiner som er sårbare for forskjellige typer kjente angrep. Svært mange maskiner er ikke tilstrekkelig oppdaterte, og boter har innebygde mekanismer for å utnytte kjente sårbarheter. Videre skanner boten etter maskiner som tilbyr ressurser uten tilstrekkelig autentisering, for eksempel delte filer eller disker. Maskiner på lokalnettet til en bedrift er ofte konfigurert til å stole på andre maskiner i samme nettverk, slik at en bot har gode muligheter for å spre seg videre. Bruk av botnet Når tilstrekkelig mange maskiner er kompromittert og innlemmet i botnettet, er det mulig å drive en rekke forskjellige typer lyssky, men innbringende aktiviteter. Spam og virus Botnet brukes i stor grad til å sende ut uønsket e-post. Spamprogramvare blir mer og mer sofistikert og dermed vanskelig å oppdage, for eksempel ved at bare en del av maskinene er aktive til enhver tid, og at hver maskin sender ut spam bare i korte tidsrom. Dermed blir ikke forsinkelsen på maskinene og i nettet for tydelig, og det blir mindre sannsynlig at spam-botene blir avslørt. Antall varianter av virus og annen ondsinnet kode øker stadig raskere; Symantec registrerte for eksempel over 10 000 nye varianter bare i løpet av første halvår 2005. Ved hjelp av botnet kan opphavsmennene utnytte «vinduet» fra et nytt virus blir registrert til antivirusprogrammene har en oppdatering klar. Tjenestenektingsangrep Under et tjenestenektingsangrep (Denial of Service Attack) forsøker en angriper å hindre at legitime brukere får tilgang til ressurser ved for eksempel å overbelaste utvalgte maskiner med trafikk. Et distribuert DoS-angrep (DDoS-angrep) innebærer at mange maskiner samarbeider om å angripe ett mål. Et botnet er et utmerket redskap for slike angrep, særlig dersom det er bygd opp av maskiner som er lokalisert på mange forskjellige steder på Internett. Det er en utbredt og svært innbringende geskjeft å drive utpressing av nettsteder ved å true med DDoS-angrep. Britiske nettsteder som tilbyr veddemål over Internett har vært svært spesielt utsatt for dette fenomenet, og har fått krav om å betale store summer for å unngå angrep. Selv botnet av begrenset størrelse kan gjøre stor skade. 1000 hjemmemaskiner med en enkel ADSL-forbindelse ut kan til sammen generere mer trafikk enn de fleste større virksomheter klarer å håndtere. Phishing Phishing er falske e-postmeldinger som prøver å få mottakeren til å gi fra seg sensitive og/eller personlige opplysninger, for eksempel kontonummer, kredittkortnummer eller PIN-koder. Svindleren sender ut e-postmeldinger som gir seg ut for å være fra en nettbank eller nettbasert betalingstjeneste, hvor mottakeren blir bedt om å logge seg på og oppdatere sine personlige opplysninger. Meldingen inneholder en klikkbar lenke som tilsynelatende peker til hjemmesiden til den påståtte
27 avsenderen, men som i stedet sender mottakeren til en kopi av innloggingssiden et helt annet sted. Her blir persondataene registrert og lagret, og brukeren blir sendt videre til den ekte hjemmesiden til nettbanken. Botnet blir brukt til å sende ut e-postmeldingene og til å huse selve phishing-nettstedet. For å gjøre det vanskeligere å finne og få stengt de falske nettstedene, blir brukerne gjerne sendt via flere ledd med dynamisk endring av IP-adresser før de kommer frem til selve phishing-siden, hvor de blir bedt om å gi fra seg opplysninger. Identitetstyveri Mesteparten av søkelyset på botnet har vært på DDoS-angrep, men tyveri av sensitiv informasjon fra kompromitterte maskiner og nettverk er sannsynligvis blitt en større trussel. Botprogrammer inneholder kode for pakkesniffing og tastaturlogging og skanner disker etter sensitiv informasjon, som kontonummer, kredittkortnummer og passord. Ved hjelp av en pakkesniffer kan boten lete etter interessante data i lokalnettet til en kompromittert maskin, for eksempel brukernavn og passord som går i klartekst. Hvis et annet botnet er aktivt, er det også mulig å plukke opp informasjon om det, og eventuelt stjele botnettet. En pakkesniffer er til liten nytte dersom kommunikasjonen er kryptert. Derfor har boten en tastaturlogger som kan lagre hva som blir skrevet på tastaturet. Ved hjelp av filtrering kan loggen for eksempel begrenses til å inneholde alt som skrives i nærheten av nøkkelordet banken.no. Hvordan oppdage og unngå botnet? Det kan være vanskelig å oppdage at en maskin blir brukt i et botnet. Kanskje vil maskinen eller nettilknytningen virke treg innimellom, men det kan jo like gjerne ha andre årsaker. Regelmessig skanning av maskiner etter kjente botprogrammer er et relevant tiltak, men husk at virus og botprogrammer vanligvis stopper alle slike prosesser, så sjekk om antivirusprogrammet faktisk er aktivt. Ved hjelp av nettovervåking er det mulig å oppdage mistenkelig trafikk på porter som vanligvis ikke blir brukt og mistenkelige trafikkmønstre. Det finnes også en rekke verktøy, for eksempel nmap, Xprobe2 og p0f, som kan brukes for å skanne maskiner i lokalnett. Antivirusprogramvare kan stoppe e-postmeldinger og hindre at bakdører og botprogrammer blir installert. Imidlertid går det alltid flere timer fra et nytt virus blir registrert til det foreligger oppdaterte signaturer fra antivirusprodusentene. Nye versjoner av virus blir spredt i stort antall ved hjelp av botnet slik at mange mottakere blir infisert før antivirusprogrammet er oppdatert. Sikkerhetsoppgradering av systemer og applikasjoner er viktig; publiserte sårbarheter blir ofte utnyttet i løpet av svært kort tid. Riktig konfigurering av maskiner gjør det vanskeligere for botene å finne angrepspunkter. Mange maskiner tilbyr tjenester som ikke er i bruk og
28 som åpner muligheter for inntrengere. Skanningsverktøy som for eksempel nmap kan finne ut hvilke tjenester som er aktive. Brannmurer kan filtrere bort trafikk på ukurante porter, men får problemer med for eksempel skanning på porten som brukes til ressursdeling under Windows, med mindre man vil gå til det skritt å forby all slik trafikk. En brannmur som filtrerer innkommende trafikk er ikke til noen nytte dersom en infisert laptop blir koblet til på innsiden. Den innebygde brannmuren i Windows XP Service Pack 2 filtrerer også bare innkommende trafikk, og vil ikke oppdage trafikk som blir initiert fra innsiden, for eksempel en henvendelse fra en virusinfisert maskin til en botnetkontroller. Hvor går vi? Botnet er per i dag kanskje den mest alvorlige trusselen mot Internett som kommersiell arena. Ved hjelp av enkle verktøy er det mulig for kriminelle å skaffe seg kontroll over maskiner i tusentall, og svært få har tilstrekkelige ressurser til å forsvare seg mot angrep av et slikt omfang. For å bekjempe problemet må politi og påtalemyndighet få øket sin kompetanse på området. Samtidig er det tvingende nødvendig få et høyere sikkerhetsnivå på maskiner i de tusen hjem og på arbeidsplassene og å øke bevisstheten om IT-sikkerhet for alle brukere av Internett.
29 Samarbeid en forutsetning for sikkerhet Maria B. Line, SINTEF IKT -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.2 (GNU/Linux) owgbwmvmwcryokazkupxucdjgrukxt/ EoszE+OLM9LzUohLn3iZHsICCU2JRSV5q syjpzl4qv4c9mysdsa6mu5bjyphhqypdcq/lvdirhbldbfy863q0vjt7gmn8p7mk r3/vzsxmdlpczyjtwshxok0kaa== =xfxj -----END PGP MESSAGE----- Det å være åpen om informasjonssikkerhet er ikke ensbetydende med å utlevere alt om svakheter og sårbarheter i egen virksomhets systemer. Samarbeid mellom virksomheter fører til kompetanseheving og økt sikkerhet hos alle involverte. Informasjonssikkerhetsproblemer, og spesielt faktiske sikkerhetsbrudd, er i stor grad noe man ikke snakker om utenfor egen virksomhet. Det er ikke ønskelig å blottlegge svakheter og feil i egne systemer. Konsekvensen av dette blir at hver IT-sikkerhetsleder sitter som konge på egen haug. Ideen bak referansegrupper For to år siden startet SIS et arbeid med det vi har kalt referansegrupper. Formålet med slike grupper var å få til informasjonsdeling på tvers av virksomheter, slik at man slipper å sitte alene med sikkerhetsutfordringene, men kan dele erfaringer og lære av andre i samme situasjon. Vi opplevde at svært få virksomheter rapporterte om sikkerhetsbrudd til oss, og gjennom referansegruppene kunne vi få tilbakemeldinger fra næringslivet på vår oppfatning av IKT-trusselbildet. I tillegg ønsket vi å se hvordan ulike målgrupper oppfattet trusselbildet. Informasjonsdeling i Norge Informasjonsdeling må være basert på tillit og fortrolighet. Vi ønsket derfor å etablere såpass små grupper at medlemmene lett kunne bli kjent med hverandre og være trygge på at informasjon som ble utvekslet ble holdt innad i gruppen. For oss var det dessuten mest naturlig å etablere referansegrupper basert på sektorer, siden vi anså at virksomheter innenfor samme sektor har en del felles rammebetingelser og utfordringer. SIS har etablert to referansegrupper, en for transportsektoren og en for finanssektoren. 10 15 virksomheter deltar i hver gruppe. Møtene har vært initiert av SIS, og det har gått på rundgang blant medlemmene å være vertskap. SIS og den aktuelle vertsvirksomheten har planlagt neste møte i fellesskap, og både egne medlemmer og eksterne har bidratt som foredragsholdere. Det viktigste på hvert møte har vært å sette av god tid til diskusjon og erfaringsutveksling. Innenfor noen sektorer telekommunikasjon, energi, olje, forskning, undervisning og kommunal virksomhet eksisterte det allerede fora som var godt egnet til å diskutere informasjonssikkerhet. Dermed var det ingen grunn til å etablere nye
30 grupper. Hensikten er ikke å pålegge IT-sikkerhetsledere flere møter og flere forpliktelser, men å sørge for at det er organisert informasjonsdeling i alle sektorer. I noen av sektorgruppene er SIS med som deltaker, i andre grupper er det ikke nødvendigvis naturlig at SIS er til stede. Målet er at aktiviteten pågår, ikke at SIS deltar. Erfaringer SIS har svært gode erfaringer med de gruppene vi selv har etablert og har vært vertskap for. Det har vist seg mulig å etablere grupper hvor tillit og fortrolighet kan bygges, og hvor medlemmene tør å være mer åpne enn ellers om sikkerhetsutfordringer i egen virksomhet. Medlemmene har gitt positive tilbakemeldinger, både på møtene i seg selv og på det å få muligheten til å bygge nettverk med andre som arbeider innenfor samme sektor og med de samme faglige problemstillingene. Arbeid framover Deltakelse i en referansegruppe må gi merverdi for medlemmene. Så langt har det hovedsakelig vært kontakt i forbindelse med møter; en mulig utvidelse av dette er å etablere interne varslingslister i hver gruppe. Slik kan man hurtig få varslet de andre dersom det oppstår et angrep eller en annen form for trussel som det er viktig for flere å vite om. Referansegruppene vil dessuten være et naturlig utgangspunkt dersom det skal etableres sektorvise responsteam for sikkerhetsbrudd i Norge. Slike lokale CERT vil kunne ha en koordinerende rolle innen sin sektor, hvor varsling kan være en større oppgave enn det vil kunne bli med kun interne varslingslister. Andre land, for eksempel Storbritannia, har en mye strengere form på sine referansegrupper. Der må alle medlemmene signere taushetserklæringer, noe som i større grad fører til at sensitiv informasjon kan utveksles innad i gruppen. Dette kan kanskje fungere som inspirasjon for oss i Norge. For enkelte sektorer kan det være nyttig å etablere samarbeid med tilsvarende grupper i andre land. Energisektoren er et eksempel på dette. Der vil det være naturlig å samarbeide med Sverige, da kraftnettet henger sammen slik at et utfall i ett av landene vil ha store konsekvenser i det andre. For andre sektorer kan det være mer interessant å danne flere lokale grupper i Norge. Dette kan kanskje være en idé for kommunesektoren, hvor kommuner med geografisk nærhet kan ha felles utfordringer. OECD publiserer i 2005 en rapport om hvordan arbeidet med informasjonssikkerhet på nasjonalt plan i Norge er organisert, og der det også vil være en del råd om hvordan arbeidet med informasjonsdeling kan fortsette framover.