Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse

Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse Buypass, BAS-brukerforum Oslo, 14.4.2016

3

Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse Buypass, BAS-brukerforum Oslo, 14.4.2016

Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Sjef for De mørke krefter & tjenester, Helsedirektoratet

Overhørt fra ansatt tirsdag morgen, kl. 8:50 : «Jeg er allerede 20. min forsinket til møtet grunnet den jævla Windows Update n!» «Men nå ser jeg den er på 26 av 29 så da går det vel bra»

Zzzzzzz. 14.04.2016

14.04.2016 10

Litt om meg selv (Facebook 1988 ) Utdannet Dataingeniør Jobbet i Post- og teletilsynet Wilhelmsen Lines Wilh. Wilhelmsen ASA Wallenius Wilhelmsen Buypass AS Helsedirektoratet Direktoratet for e-helse Tidl. styreleder i ISF (www.isf.no) CISA / CISM Drift Drift IT- og informasjonssikkerhet Kontinuitet og kriseplanlegging Sikkerhetssjef Sikkerhets- og kvalitetssjef / PVO Informasjonssikkerhetsleder/PVO Informasjonssikkerhetsleder

Agenda 3 områder innen sikkerhet: Hva er likt i dag? Hva har forandret seg? Tips til forbedring og håndtering 1. Sikkerhetsrollen 2. Trusselbildet 3. Forankring & holdningsskapende arbeid

Sikkerhetsrollen X X

14.04.2016 14

Hvordan oppfattes sikkerhet i din virksomhet?

Sikkerhet skal aldri ødelegge for business!

Sikkerhetssjef

Sikkerhetsfolk må være endringsvillige

Sikkerhetsfolk må være endringsvillige

Hva er en sikkerhetssjef? Overordnet ansvar for sikkerhet Ansvar for fysisk sikkerhet Ansvar for informasjonssikkerhet Ansvar for compliance (overensstemmelse) Gode kommunikative evner Må ha god menneskelig innsikt Må ha høy grad av forretningsforståelse Bør ha et godt internt og eksternt nettverk Må ha god teknisk innsikt Må ha god systemmessig innsikt Må være godt likt, respektert og flinkest i klassen.

Tema for presentasjonen 14.04.2016 21

Trusselbildet den menneskelige faktor

Trusselbildet den menneskelige faktor Svindlere spiller fremdeles på tre faktorer: Frykt Tillit Fristelser Og vi er fremdeles dumme vi trykker i vei & biter på agnet

Vi har ledd av disse

Spearphising Sofistikert phising Del av et målrettet angrep mot en virksomhet Informasjon om virksomheten brukes i en e-post for å få deg til å klikke på en lenke - gjerne mot ledere («CEO-Fraud») Malware installeres 27

28

Angriperne blir flinkere selv om det ikke ser slik ut Sendt:11.4.2014.

31

Anbefalinger Tiltak innen BÅDE sikkerhetskultur OG teknologi: Opplæring, holdningsskapende arbeid -> god sikkerhetskultur Vekk med lokal administrator Whitelisting / forhåndsgodkjenning av applikasjoner 14.04.2016

Tema for presentasjonen 14.04.2016 33

Trusselbildet tekniske aspekter ABC80 fra Luxor Z80 prosessor@3,00mhz 16Kb Minne Luxor Basic OS Nettverk: kommuniserte mot felles diskettstasjon og kassettspiller

1956 5MB / 1 tonn 14.04.2016 35

1986 Sårbarhetsutvalget (!)

The Morris Worm - 1988

Hva har forandret seg? Avhengighet til IT-systemer! Et samfunnsproblem

Større avhengighet enn noen gang Forretningsprosser Samfunnstjenester Kommersielle tjenester Mer og mer handel Privatlivet Alt er knyttet sammen OG DET FINNES FÅ MANUELLE BACKUPLØSNINGER

14.04.2016 40

Et samfunnsproblem? Tja

Et samfunnsproblem?

Smelter sammen med privatlivet

Internet Of Things (IOT)

Internet Of Things (IOT)

Før

APT - Hvor avansert er det egentlig..?

Aftenposten, 6. mars: Dagbladet & DinSide, 7. mars:

Mørketallsundersøkelsen Gapet mellom trusselbildet og tiltak øker Informasjonssikkerhet i norske bedrifter er rett og slett digitalt rot Helt grunnleggende sikkerhet gjennomføres ikke Risikoforståelsen er for lav, også blant ledere DET MÅ SMELLE FØRST

APT hvor avansert er det egentlig? John Arild A Johansen, Sikkerhetsleder / Personvernombud ISF Høstkonferansen Strömstad, 2. september 2015

APT - Definisjon APT - Hvor avansert er det egentlig..?

APaTi? Dette blir så avansert at vi ikke kan stå i mot Kinesiske myndigheter (People s Liberation Army) har egne sektorvise grupperinger (les: vi er sjanseløse ): IT, olje, maritim, helse, finans, kraft, etc Massevis av motiver: økonomiske, nysgjerrig, hevn, berømmelse, politisk, spionasje, etc., etc. (fyll inn ) Vi trenger masse ny (dyr) programvare, bokser og tjenester APT - Hvor avansert er det egentlig..?

APT - Hvor avansert er det egentlig..?

APT Lifecycle (sukk ) APT - Hvor avansert er det egentlig..?

Sony Pictures 2014 DigiNotar 2011 Target 2015 APT - Hvor avansert er det egentlig..?

Fellesnevnere Ingen to-faktor autentisering Manglende segmentering av nett og kritiske komponenter Svak eller manglende nettverksmonitorering og logging Lite holdningsskapende arbeid ovenfor ansatte Manglende tilgangsstyring Dårlig handtering av brukernavn (fellesbrukere) og passord (statiske) Enkelt å kjøre brute-force angrep på pwd Manglende (!!!) eller utdatert anti-malware Manglende patching og oppgradering Ingen DLP (Hallo! Sony Pictures!!) Operasjonell IDS, men ble ikke sett eller blokkert (IPS slått av..) Manglende oppfølging av underleverandører og samarbeidspartnere APT - Hvor avansert er det egentlig..?

Hva kan virksomheten gjøre?

Hva kan virksomheten gjøre? Tenk helhetlig sikkerhet i alle ledd Plukk det beste fra sikkerhetsstandarder

Aftenposten, 1988 Forankring, opplæring & holdningsskapende arbeid

Først noen kjepphester DET ER MULIG å lære opp våre ansatte i informasjonssikkerhet. Mange mener det motsatte og alle policies må tvinges igjennom via tekniske sikkerhetsmekanismer. MAN KAN bygge en god sikkerhetskultur. Mange mener slaget er tapt og at det kun er «forretningskulturen» som gjelder og det er flaks hvis den støtter oppunder sikkerhet. THE HUMAN FIREWALL er viktigere enn teknologien. 20% teknologi - 80% mennesker, kunnskap og gode prosesser.

Side 187 (av 197!): Ledelsen har det overordede ansvaret for datasikkerhet De EDB-ansvarlige for det utøvende ansvaret Dataforlaget 1991

Side 191 (av 197!): Opplæring av alle i datasikkerhet er nødvendig Det viktigste sikringstiltak er den enkeltes kunnskap Dataforlaget 1991

All honnør til virksomheter som åpner seg!!

Normalfordeling i enhver virksomhet

Hva virker? Hvordan spre det gode budskap? HorrorShow (men ikke hele tiden) Budskap tilpasset målgruppen Vise hvor lett det er! Vise hvor ille det kan gå (med andre ) Vise til konsekvenser av hendelser Eksterne foredragsholdere Rapportere faktisk hendelser og statistikk - hva vi er utsatt for Skape forståelse for hva vi er pålagt Fange opp sitater fra toppledelsen Betydning for forretningsprosessene Sikkerhet som markedsføring Money Talks!

Populærkulturens hackere

Virkelighetens hackere Captain Crunch (1971) Kevin Mitnick (1988) Phiber Optik (1984) Kevin Poulsen (1991)

The Art of War (500 år f.kr.) To know your Enemy, you must become your Enemy. Sun Tzu Know yourself and you will win all battles Sun Tzu 14.04.2016 69

INFORMATION GATHERING TO PLAN THE ATTACK Footprinting OPEN SOURCE SEARCH WHOIS DNS ZONE TRANSFER SCAN FOR SERVICES TO IDENTIFY THE MOST PROMISING WAY TO ATTACK MORE INTRUSIVE PROBING TO IDENTIFY POORLY PROTECTED SHARES OR USERACC. INFORMED ATTEMPT TO ACCESS THE TARGET IF ONLY USER ACCESS ATTEMPT FULL ACCESS/CONTROL INFORMATION GATHERING TO GAIN TRUSTED ACCESS HIDE THE FACT OF TOTAL OWNERSHIP TRAP DOORS TO ENSURE FUTURE PRIVILGED ACCESS IF UNSUCCESSFULL ACCESS BRING THE SYSTEMS DOWN Scanning Enumeration Gaining Access Escalating Privilege Pilfering Covering Tracks Creating back doors Denial of Service PING SWEEP TCP/UDP PORT SCAN OS DETECTION LIST USER ACCOUNTS LIST FILE SHARES IDENTIFY APPLICATIONS PASSWORD EAVEDROPPING FILESHARE BRUTE FORCE PASSWORD FILEGRAB BUFFER OVERFLOWS PASSWORD CRACKING KNOWN EXPLOITS EVALUATE TRUSTS SEARCH FOR PWD IN CLEARTEXT CLEAR LOGS HIDE TOOLS CREATE ACCOUNTS CREATE BATCH JOBS EDIT STARTUP FILES INSTALL SOFTWARE ++ SOFTWARE BOTNET

Konsekvenser av sikkerhetshendelser Negativ medieomtale Tap av troverdighet / varemerke svekkes Tap av marked og muligheter Brudd på lover & regler Finansielle tap / bøter Straffesak Tap av sertifiseringer og utmerkelser Ekstraarbeid og mye mer

Hva virker ikke? Gjentatte HorrorShow = ulv-ulv Engangsopplæring Budskap gjennom en kanal alene Det Interne Sikkerhetspolitiet

Annet Fra mantraet Konfidensialitet Integritet Tilgjengelighet Sikkerhet = Håndtering av risiko Sikkerhet = Hvordan gjøre det! Fra ødeleggende moro til kriminell vinning Vi er fremdeles naive

Konklusjoner Mange bra og enkle løsninger få «baseline» på plass Tilgangsstyring, sikkerhetskultur, IT-Drift, arkitektur, hendelsehåndtering,.. Masse med erfaringer å hente fra sikkerhetsog sertifiseringsstandarder (Normen, ISO, ) Mer fokus fra media hjelper Er fremdeles dyrt budsjetter avgjørende Mer viktig og større avhengighet enn noen gang Det går fremdeles for sakte Det må fremdeles smelle først For fremdeles mange rigide sikkerhetssjefer Smelter sammen med privatlivet For fremdeles lite forståelse (også privat) De kriminelle ligger fremdeles foran Mer viktig enn noen gang / stor avhengighet

Insecurity bores me - Francis Underwood, House Of Cards Kontakt: john.johansen@helsedir.no / tlf. 9169 4321