Sikkerhetskultur og informasjonssikkerhet SUHS 2012 CSO-forum Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet, UNINETT
Om Øivind Seniorrådgiver ved UHsektorens sekretariat for informasjonssikkerhet hos UNINETT Har jobbet 20 år i Statoil med informasjonssikkerhet, sikkerhetskultur og risikovurderinger Sertifisert IT-revisor og innen risikostyring Medlem av ISACA Norges standard og forskningskomité 2
Agenda Trusselbilder Nye bruksmønstre Hva skal vi beskytte? Hvordan bygge en god sikkerhetskultur Hva kan UNINETT bidra med? 3
Trusselbilder fra PST Ifølge den nyeste trusselvurderingen utarbeidet av Politiets Sikkerhetstjeneste vil utenlandsk spionasjeaktivitet rettet mot norske interesser fortsette på et høyt nivå. 4
Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses til å gi fra seg informasjon eller til å bidra til å påvirke beslutningsprosesser.» 5
Trusselbilder fra PST «Et nyere trekk i etterretningen mot høyteknologi er enkelte etterretningstjenesters utilbørlige press mot studenter og forskere for å utlevere forskningsresultater til hjemlandet, nettopp for å styrke egen forskning og utvikling.» 6
Trusselbilder fra NSM «Fremmede staters etterretningstjenester søker primært å innhente informasjon som kan fremme landets politiske og økonomiske interesser.» «Aktiviteten er hovedsakelig rettet mot forsvars- og sikkerhetspolitikk, olje- og gassektoren, høyteknologi-/ forsknings-/undervisningsmiljøer og eksilmiljøer.» 7
Trusselbilder fra E-tjenesten Den norske militære etterretningstjenestes åpne trusselvurdering peker på elektronisk spionasje som den største trusselen mot norske interesser i fredstid. 8
Oppsummering av trusselbilder Sosial manipulering (Social engineering) Phishing-angrep Elektronisk spionasje Hactivism fra aktører som bla. Anonymous Sporadiske hackere med ikke-målrettede angrep, DDOS (Distributed Denial-of-Service) angrep osv. Elektronisk krigføring (Cyberwar) 9
Viktig! Det er ikke malware og datamaskiner som angriper IKT-systemene våre, det er mennesker. 10
11
Sikkerhetshendelser hos oss Vi har hatt hackerangrep på våre tungregneanlegg Titan i Oslo og Stallo i Tromsø Dårlige sikkerhetsrutiner og manglende sikkerhetsoppdateringer Stjeler brukernavn og passord for å logge seg på andre systemer for å finne informasjon og tjenester de kan utnytte Hackere fra Australia, Tyskland og Nederland ble dømt 12
Misbruk av SIPtelefonisystemer Hacking av SIPtelefonisystemer Stjeling av tellerskritt som medfører store økonomiske tap 13
Nye bruksmønstre og brukerforventninger Smarttelefoner og nettbrett Mobile arbeidsplasser Bring your own device Skytjenester (Cloud computing) Dropbox, Google transelate, Prosjektplassen, browser plug-ins Sosiale media Facebook, Linkedin, Twitter Mindre skille mellom jobb og fritid 14
Informasjonssikkerhet Vi ønsker å beskytte sensitiv og forretningskritisk informasjon basert på: 15 Konfidensialitet (Forskningsresultater) Integritet (Vitnemål) Tilgjengelighet (Samordna opptak)
Informasjonsklassifisering Det er en viktig oppgave å skaffe fullstendig oversikt over systemer og informasjonseiendeler. Virksomhetskritiske systemer og informasjonseiendeler må også identifiseres. Klassifiser informasjonen: Åpen Intern Sensitiv 16 Finn akseptabelt risikonivå.
Sensitiv informasjon Forskningsresultater (eks.: olje og gassutvinning, nano-, bio- og mobilteknologi) Personopplysninger, f.eks. spesialtilrettelegging pga. sykdom Eksamensoppgaver før eksamen 17
Virksomhetskritiske informasjon og systemer Forskningsrelaterte data 18 Samordna opptak Epost Hvem oppholder seg i bygg/laboratorier i tilfelle brann/ulykke
Informasjonssikkerhet og IT-sikkerhet i arkitekturen 19
Informasjonssikkerhet i prosjektgjennomføring Ide Analyse Realisering Utrulling Drift og B1 B2 B3 B4 B5 videreutvikling Avvikling Bestem roller og ansvar for informasjonshåndtering. Utfør informasjonsrisikovurdering. Lage en informasjonsklassifisering. Bestemme hvordan du utveksle sensitiv informasjon internt og med eksterne parter. Opprett lagringsområder for data. Gi tilgang til IT-løsninger og bygninger. Etabler en sikkerhetskultur og formuler konkrete krav til prosjektet Klassifiser og håndter informasjon og følg informasjonssikkerhetsråd og beste praksis. Forstå hvordan man skal utveksle sensitiv informasjon internt og eksternt. Følg organisasjonens reiseråd. Arkiver informasjon. Utfør informasjonsrisikovurdering ved hvert beslutningspunkt (Spesielt viktig ved B2 og B3). Arkiver gjenværende arkivverdige dokumenter, inkludert e-post, og papirkopier. Rydde og slette lagringsområder for data. Fjern tilganger til bygninger og IT-løsninger. Hvis 3. part har fått tilgang til prosjektinformasjon, må det vurderes om tredje part skal bli bedt om å fjerne slikt informasjon. 20 «Security by design»
Sikkerhetstilstanden i Norge Sikkerhetstilstanden blir fortsatt svekket i Norge. Risikoforståelsen knyttet til spionasje, sabotasje og terror er fortsatt for lav. Viktige tiltak som risikovurderinger, kompetanseheving, rapportering og sikkerhetsrevisjoner blir ikke gjennomført. 21 (Fra NSMs Rapport om sikkerhetstilstanden 2011)
Slapp sikkerhetskultur og dårlige kunnskaper Kompetansen hos ledere og sikkerhetspersonell har vært nedadgående de senere årene. Mange med konkrete sikkerhetsoppgaver mangler kompetanse om hvordan oppgaver tilknyttet forebyggende sikkerhet skal eller kan løses. Dette fører ofte til sikkerhetsbrudd som begås i god tro. Dette har som regel sammenheng med mangel på planmessig opplæring i virksomheten. 22 (Fra NSMs Rapport om sikkerhetstilstanden 2011)
Riksrevisjonen har følgende anmerkninger i forhold til UH-sektoren: Manglende risikostyring Manglende implementering av sikkerhetspolicy Manglende identifisering og klassifisering av personopplysninger Manglende kunnskap vedrørende behandling av personopplysninger Avvikende praksis i forhold til rutiner vedr. tilgangskontroll og manglende avvikshåndtering Manglende etablering av internkontrollsystem iht. personopplysningsloven Manglende tiltak i forhold til sikkerhetskultur 23
22. juli-kommisjonens anbefaling «Kommisjonens viktigste anbefaling er at ledere på alle nivåer i forvaltningen systematisk arbeider med å styrke sine egne og organisasjonenes grunnleggende holdninger og kultur.» 24
Problemet løst! 25
Sikkerhetskultur Sikkerhetskulturbegrepet oppsto på bakgrunn av flere alvorlige ulykker på 80-tallet: 26 Tsjernobyl Challenger Piper Alfa
Tre norske togulykker 22. februar 1975: 27 mennesker omkom da et nordgående og et sørgående persontog kolliderte ved Tretten stasjon i Gudbrandsdalen. Saken ble avsluttet etter at man avdekket at en av togførerne hadde kjørt mot rødt lys. 27 4. januar 2000: 19 mennesker omkom da to tog kolliderte ved Åsta på Rørosbanen. Togfører kjørte også her mot rødt lys, men etterforskningen avdekket systemsvikt i flere ledd. Infosjef: «Kjent feil i signalsystemet utgjorde ingen fare» Systemsvikt ble også avdekket etter ulykken på Sjursøya i 2010.
Hvem av disse har størst fokus på sikkerhet? 28
Definisjon på sikkerhetskultur Sikkerhetskultur er summen av medarbeidernes kunnskap, holdninger og adferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsadferd. 29 (NSM)
«Vi har ikke implementert sikkerhetskultur ennå» (Vanlig uttalelse) 30 «Vi mangler ikke sikkerhetskultur, den er bare veldig dårlig.» (Roar Thon, NSM)
Gode sikkerhetsregler Sikkerhetsfolk tenker ofte 100%-løsninger som blir vanskelige å overholde og dermed ikke følges. 31 Det som trengs er gode sikkerhetsregler og løsninger som fungerer i det daglige arbeid.
20% teknologi 80% holdninger Informasjonssikkerhet er ikke kun et teknologiproblem. Den beste sikringsverktøyet sitter mellom ørene til folk. 32 Det må bare implementeres!
Etablerte virkelighetsoppfatninger Informasjonssikkerhet er ITs ansvar. 33 Også kalt ØSS Øystein Sunde Syndromet: Vi har folk til slikt IS handler kun om å holde informasjon hemmelig.
Riktige virkelighetsoppfatninger Informasjonssikkerhet angår det jeg har ansvar for. Informasjonssikkerhet er god forvaltningsskikk. Informasjon, folk og penger er de viktigste innsatsfaktorene for å nå våre mål. 34
Sikkerhetskultur i kunnskapsvirksomheter Rutiner og lydighet eller akademisk frihet? 35 Kirkefader Augustin: Fasthet i det sentrale Frihet i det perifere Kjærlighet i alt
Hvordan bygge en god sikkerhetskultur Jobben med å bygge en god sikkerhetskultur er ikke en engangsaktivitet. Arbeidet må ha et langsiktig perspektiv for å oppnå de ønskede resultater. Det er viktig med støtte og forankring fra ledere i organisasjonen. Kulturen er påvirket av ledelsens sikkerhetsbevissthet og hvilke signaler som gis. Det må settes av ressurser i form av tid og midler Budskap og kanaler må tilpasses målgruppene. 36
Hvordan bygge en god sikkerhetskultur Kunnskapsoverføring i forhold til trusler, risiko, ansvar, forventninger m.m. Gode gjennomførbare sikkerhetsregler. Informasjon og diskusjon om hendelser fra egen virksomhet sikrer god motivasjon. Og så må man repetere budskapet jevnlig og evaluere årlig. 37
Sikkerhetskulturprogrammer Sikkerhetskulturprogrammer er et viktig verktøy for alle organisasjoner, uavhengig av størrelse. Sikkerhetsansvarlige må skape klare, håndhevbare sikkerhetspolicyer og være et eksempel for å fremme en god sikkerhetskultur. Opplæring og ansvarliggjøring av medarbeidere vil være sentralt i slike programmer. 38
Byggesteiner for god adferd Kultur Verdier Holdninger Normer Vaner Adferd Struktur Styringssystemer Regler Prosesser Ledelse Teknologi 39 Samhandling Kommunikasjon Informasjon
Arbeidsprosess Analyse 40 Evaluering Utvikling av tiltak Implementering
Suksessfaktorer Ledelsesstøtte Alle må med Ressurser Tilpasset organisasjonens behov, sikkerhetssystemer og kultur Kommunikasjon av resultater Høy grad av åpenhet og tillit i organisasjonen Åpenhet og lydhørhet i ledelsen 41
Sekretariat for informasjonssikring Opprettet på oppdrag av KD Bakgrunnen er Riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Skal støtte UH-sektoren i informasjonssikkerhetsspørsmål De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for sekretariatets arbeid 42
Hva kan UNINETT bidra med? Sekretariat for informasjonssikkerhet i UH-sektoren Etablere og drive et forum for CSO-er Årlig sikkerhetsforum-konferanse 43 Eget spor for sikkerhetsansvarlige på SUHS-konferansen Rådgivning som hjelp til utforming av policyer, strategier, risikovurderinger, kontinuitet- og beredskapsplaner og andre tiltak. Eget nettsted på uninett.no med blog og materiell Presentasjonsmateriell, brosjyrer, håndbøker, veiledninger m.m. Deltakelse i internasjonale fora som NORDUnet og Terena
Takk for meg 44 Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet +47 97104968 oivindh@uninett.no https://twitter.com/oivindhoiem