Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1
Jeg skal snakke om: 1. Hva er verdivurdering? 2. Hvorfor er verdivurdering nødvendig også i næringslivet? 3. Hvordan gjøre verdivurdering av informasjon? 4. Eksempler på skjermingsverdig informasjon 5. Anbefaling Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 2
Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 Informasjon og informasjonssystemer bør klassifiseres for at tiltak lettere skal kunne tilordnes. Alle IKTsystemer og all informasjon som blir behandlet i IKT-systemene med betydning for rikets sikkerhet eller personvernet skal iht. gjeldende regelverk være klassifisert. Eiere av informasjon og informasjonssystemer som ikke omfattes av regelverket skal oppfordres til å gjennomføre verdivurderinger for å identifisere hvilken informasjon som er nødvendig å beskytte Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 3
Hva er verdivurdering? Identifisere det som må beskyttes. Informasjon og objekter Vurdering av hvilke konsekvenser det vil kunne få dersom verdien går tapt Informasjonen kompromitteres Objektet ødelegges/svikter Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 4
Verdivurdering Det forebyggende sikkerhetsarbeidet En forutsetning for sikkerhetsstyring Gir grunnlag for å etablere sikkerhetstilstak som står i forhold til sikkerhetsutfordringer Gir grunnlag for å disponere ressurser effektivt Verdivurdere Målsetningen er å snu sårbarhet til motstandsdyktighet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 5
Når har informasjon verdi? Nøyaktig Relevant Tidsriktig Tilgjengelig Komplett Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 6
Klassifisering av informasjon Verdi i i i i Skadepotensial Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 7
Verdivurdering Er det nødvendig? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 8
Sun-Tzu, kinesisk general og filosof (500 f.kr.) Kjenn fienden og kjenn deg selv, og i hundre slag vil du aldri bli slått Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 9
Verdivurdering Industrispionasje Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 10
Åpen trusselvurdering 2009 Flere sektorer innenfor det norske samfunnet er attraktive etterretningsmål, og aktiviteten til utenlandske staters etterretningstjenester mot Norge og norske interesser er høy. Etterretningsvirksomheten er i hovedsak rettet mot politiske beslutningstakere, embetsverk, sentraladministrasjon og ulike private aktører. Informasjonen søkes særlig innenfor olje og gass, forskning og utvikling, teknologi samt forhold knyttet til NATO. Målet med utenlandske staters etterretningsaktivitet i Norge er å fremme egne strategiske interesser, ofte på bekostning av norske interesser Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 11
Trusselbildet Næringslivet Aktører Fremmed etterretning Kriminell organisasjon Næringslivet Hvorfor Strategiske interesser Økonomisk vinning Vinne markedsandeler Hvordan? Åpne kilder Infiltrasjon Social engineering Bestikkelser, trusler og utpressing Tekniske spionasjemetoder Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 12
Fra filmen Wall Street (1987) The most valuable commodity I know of is information Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 13
Et nettverksbasert samfunn Gjensidig avhengighet preger de ulike virksomhetene Olje/gass Telekomm. Vann Bank & finans Transport Nødetater Myndighetsutøvelse Kraftforsyning Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 15
Hvordan gjøre verdivurderinger? Hva er det som gjør din virksomhet unik? Hvordan kan informasjonen misbrukes? Hvem kan misbruke informasjonen? Hva er konsekvensen dersom denne informasjonen blir offentlig tilgjengelig? Kan informasjonen påføre andre virksomheter skade? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 16
Eksempler på skjermingsverdig informasjon? Forhandlingsstrategier (taktikk og mål) Produktinformasjon (unike produksjonsprosesser, utviklingsarbeid, teknologi, osv) Informasjon som kan påvirke aksjekursen i selskapet Risiko-og sårbarhetsinformasjon Status på fysiske sikringstiltak Informasjon om adgangskontroll Sikkerhets- og beredskapsopplegg Informasjon om kritiske IT systemer Databaser Personell-informasjon Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 17
Anbefaling Lag retningslinjer for verdivurdering av informasjon i din virksomhet. Den som tilvirker informasjon Lag vurderingskriterier Ha to eller flere klassifiseringsgrader. Regler for beskyttelse Begynn med å gjøre verdivurderinger av informasjon som legges ut på bedriftens nettsider, som gis muntlig og som brukes i salgsøyemed. Etabler multilevel security Jobb for å bevisstgjøre de ansattes om skillet mellom bedriftsintern informasjon og åpen informasjon, ev. flere nivåer. Virksomhetens ledelse må gå foran som et godt eksempel Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 18
Kevin D. Mitnick i boken The Art of Deception (2002) Your trash may be your enemy s treasure Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 19
Spørsmål Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 20