FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Nasjonal sikkerhetsmåned 2014 Stavanger, 2. oktober 2014 Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet 1
SLIDE 2 VIDEOKLIPP FRA NRK.NO
«Det er en utfordring at mange ser ut til å tro at det er mulig å forebygge og forhindre uønskede hendelser i det digitale rom, på en slik måte at de selv ikke trenger å fokusere på egen sikkerhet» SLIDE 3
SLIDE 4 KLIPP FRA DAGENS NÆRINGSLIV OG TV2.NO
«DU KAN IKKE SE DEN GRENSE I DEN DIGITALE ROM» SLIDE 5
DET EKSISTERER INGEN GRENSEKONTROLL I DET DIGITALE ROM! SLIDE 6
Den norske drømmende, smånaive nissen Den globale, kyniske varianten SLIDE 7 Klipp: Ukjent kilde
«Vi sloss daglig med å holde angriperen unna vår informasjon»
«Nei det har vi heldigvis ikke merket noe til»
DET ER INGEN I NORGE SOM SITTER MED ÈN «AV KNAPP» TIL INTERNETT SLIDE 10
«NOBODY ANSWERS WHEN YOU CALL 911 IN CYBERSPACE» SLIDE 11
Norske virksomheter og deres ansatte befinner seg i første linje i forsvaret av egne systemer, nettverk og informasjon. SLIDE 12
2014 2012 44% 54% SLIDE 13 Foto: Citigroup
PÅSTAND: Det er stor sjanse for at ledelsen og ansatte ikke bryr seg om sikkerhetsarbeidet før det rammer egen virksomhet
TILGJENGELIGHET SLIDE 15
FORVENTNINGER TIL SIKKERHET Folk flest SLIDE 16
SLIDE 17 Foto: colourbox.com
SLIDE 18
SLIDE 19
SLIDE 20
ØYSTEIN SUNDE SYNDROMET Illustrasjon: Skjermklipp fra NRK
SIKKERHET? HOLDER DET IKKE BARE MED TEKNOLOGI?
HØY ETTERETNINGSAKTIVITET MOT NORSKE INTERESSER 25 Foto: colourbox.com
FORVENTNINGER TIL SIKKERHET Hendelser SLIDE 26
Klipp fra Dagens Næringsliv
NSM oppdager sommeren 2014 at et større antall norske virksomheter i olje- og energisektoren er mål for et stort og målrettet dataangrep NSM varslet selskapene som var under angrep NSM har tilsammen varslet over 550 norske virksomheter relatert til sommerens angrep SLIDE 28 ILLUSTRASJON COLORBOX.COM
Sendt til ca 600 nøkkelpersoner i virksomheter og til underleverandører som f.eks advokatfirma hvor mottaker (advokat) arbeider med olje og energi. Det samme med finansinstutisjoner. Standard sosial manipulering m fem forskjellige vinklinger som pakke fra Posten Norge eller informasjon om konferanse. Inneholdt pdf vedlegg m skadevare eller link til vannhullsangrep SLIDE 29
Over 50 norske virksomheter har vært utsatt for det koordinerte angrepet, og disse ble varslet så raskt som mulig Ca halvparten av disse har respondert tilbake til NSM De som har respondert tilbake bekrefter angrepet, men ser ikke at de skulle være kompromitert ytterligere Det er større grunn til bekymring knyttet til de som ikke har respondert tilbake SLIDE 30 ILLUSTRASJON COLORBOX.COM
SIKKERHET OG SOSIALE MEDIER Trusselaktører SLIDE 31
Hvordan ser en hacker ut? SLIDE 32
Foto: colourbox.com
Foto: colourbox.com
Statlige Org Kriminelle org Statsfinansierte org Hacker org Advanced Persistent threat 20% Hacktivisme Cyberpatrioter Kriminelle Hackere Bedrifter Ansatte Insider
De strategiske trusselaktørene bedriver sine aktiviteter i et langsiktig perspektiv!
Foto: colourbox.com
FORVENTNINGER TIL SIKKERHET Samarbeid SLIDE 38
39
40
41
42
43
44
FORVENTNINGER TIL SIKKERHET Sikkerhetsfolk SLIDE 45
SLIDE 46 KLIPP: TEKNISK UKEBLAD
Gode sikkerhetstiltak blir best når virksomhetene og deres ansatte selv finner løsninger som er basert på en god forståelse om: hva slags bransje de er i markedet de opererer i hva de tjener penger på hvilke verdier de har hva slags risiko de har hva slags risiko de er villige til å ta hva slags trusler de står ovenfor hvordan bedriftskulturen er hva slags sikkerhetstiltak er på plass hvorvidt fungerer tiltakene SLIDE 47
SLIDE 48
SLIDE 49
S-org O R G L E D E L S E T E K N O L O G I B R U K E R E
SLIDE 51
SLIDE 52
Der hvor noen ser en mann med horn og høygaffel som avsender av enhver e-post, vandrer andre rundt i det digitale rom uten en eneste bekymring. SLIDE 53
54
SLIDE 55
«Vi krypterer med DSS som spesifiserer en suite av algoritmer, inklusive DSA, RSA digital signatur og ECDSA, som kan brukes til å generere digitale signaturer. Disse digitale signaturene kan brukes til å detektere uautorisert endringer på data og autentisere identiteten til en signaturholder. Sikkerhetsfunksjonaliteten «Uavviselighet» er også dekket» SLIDE 56
«Vi krypterer vi» SLIDE 57
DET ER IKKE ANDRES TEKNOLOGI SOM ANGRIPER VÅR TEKNOLOGI DET ER MENNESKER SOM ANGRIPER MENNESKER SLIDE 58
God aften frue, det er fra banken deres! Foto: colourbox.com
MÅLING AV KUNNSKAP Forprosjekt levert til Justisdepartementet 1. oktober Kjapp måling før nasjonal sikkerhetsmåned blir iverksatt Langsiktig prosjekt på måling i befolkningen anbefalt Forskningsprosjekt om sikkerhetskulturelle tiltak anbefalt Forslag om større nasjonal holdningskampanje om informasjonssikkerhet SLIDE 60 Foto: colourbox.com
FORVENTNINGER TIL SIKKERHET Ledere SLIDE 61
Loyds Risikoindex 2011 Cyber 12 og 15 plass 2013 Cyber 3. plass i Verden 2013 Cyber 2. plass i USA SLIDE 62 Foto: colourbox.com
Styreledere i norske konsern Konsernsjefer Departementsråd Administrerende direktører i norske virksomheter av en viss størrelse Direktører direktorater SLIDE 63
SLIDE 64
Iverksetter ulike tiltak som verdivurdering, gjennomgang av sikkerhetstiltak, organisering av sikkerhetsarbeid, holdningskampanjer Styreleder krever kvartalsvis rapportering om sikkerhetstilstanden fra konserndirektør SLIDE 65 Foto: colourbox.com
Engasjement fra øverste ledelse Vi må lukke flere sårbarheter Ingen one size fits all 66
Takk for oppmerksomheten! Nasjonal sikkerhetsmyndighet www.nsm.stat.no Fagdirektør Roar Thon roar.thon@nsm.stat.no @Secdefence SLIDE 67 ILLUSTRASJON COLORBOX.COM