Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014
Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk. Dette gjør vi gjennom revisjon, kontroll og veiledning. Mandat: Riksrevisjonen skal bidra til at fellesskapets midler og verdier blir brukt og forvaltet slik Stortinget har bestemt. 2
Men hvorfor er Riksrevisjonen interessert i informasjonssikkerhet? I utøvelse av vårt mandatet vurderer vi etterlevelse av regelverk. etterlevelse av vedtak slik Stortinget har bestemt. forvaltningen av statens materielle verdier. ikt og internkontrollens påvirkning på regnskapet. 3
Oversikt Kort om IKT-trusselbilde 2014 Erfaringer fra revisjon av informasjonssikkerhet i perioden 2009-2013 Hva er utfordringene? Noen anbefalinger 4
Trusselbilde i Norge 2014 NSM om sikkerhetstilstanden 2014 Mange virksomheter mangler oversikt over sine egne verdier og egen sikkerhetstilstand. Ofte mangler det bevissthet omkring sikkerhetsmessig risiko og erkjennelse av at virksomhetene kan være utsatt. I 50 % av de 100 virksomhetene som samarbeidet med NSM i 2013, ble det oppdaget datainnbrudd. Mørketallsundersøkelsen 2014 Ca. 4 % har opplevd datainnbrudd i 2013. Fokus 2014 Statlige aktører har avanserte digitale etterretningskapasiteter som benyttes i det digitale rom. 5
Trusselbilde 2014 Risiko: Profesjonalisering av aktører utgjør en trussel mot virksomhetenes systemer. Dette kan skje i form av utenlandsk etterretning, kriminelle organisasjoner eller industrispionasje. Truslene er rettede og kan være vanskeligere å oppdage enn tidligere. 6
Erfaringer fra revisjon av informasjonssikkerhet Grunnlag: 50 virksomheter i perioden 2009-2013 7
En måte å se sikkerhetsarbeidet på Organisering Læring og forbedring Forankring i ledelsen Identifisere de viktigste verdiene Risikovurderinger Beskyttelse Rapportering av hendelser Revisjoner og evalueringer Forankring i organisasjonen Kompetanse Policyer og rutiner 8
Identifisering og klassifisering av virksomhetens viktigste verdier Mange virksomheter hadde ikke identifisert og klassifisert virksomhetens viktigste verdier. 9
Risikovurderinger Stort sett alle virksomheter hadde gjennomført risikoanalyser, men da ofte knyttet til om virksomhetene når sine mål. Halvparten manglet imidlertid risikoanalyser som omfattet de viktigste verdiene i virksomheten. Omtrent halvparten hadde heller ikke rutiner for jevnlig oppdatering av analysene. 10
Sikkerhetspolicy og en sikkerhetsorganisasjon Stort sett alle hadde en sikkerhetspolicy eller tilsvarende dokumenter. Stort sett alle hadde etablert en egen sikkerhetsorganisasjon. 11
Opplæring og bevisstgjøring Over halvparten hadde opplæring og/eller løpende tiltak for bevisstgjøring innen informasjonssikkerhet i egen organisasjon. Opplæring og bevisstgjøring av eksterne brukere er svakere enn for egne ansatte. 12
Beskyttelse - tilganger Stort sett alle virksomheter hadde etablert rutiner for administrasjon av tilganger for vanlige ansatte. Imidlertid ofte manglende oversikt over gitte tilganger. manglende rutiner for tildeling av tilganger til de med utvidede rettigheter. mange brukerkonti med administratorrettigheter. bruk av upersonlige brukere/ fellesbrukere. manglende periodiske gjennomganger av tilganger. 13
Beskyttelse - logging og overvåkning Gjennomgående svakheter på området logging og overvåking. Brukere og systemadministrators aktiviteter har liten grad blitt logget eller fulgt opp. 14
Beskyttelse serverrom Revisjonene våre har vist at de fleste serverrom er sikret mot fysiske farer. 15
Beskyttelse for øvrig Svake krav til passord. Manglende patching. Manglende testing av endringer og systemer før produksjonssetting. Manglende systemdokumentasjon. Manglende oppfølging av driftsleverandører. 16
Kontinuitetsplanlegging Stort sett alle virksomheter hadde en kontinuitetsplan eller prosess for kontinuitetsplanlegging. Få virksomheter hadde imidlertid oppdaterte kontinuitetsplaner for IKT. Generelt gjennomfører altfor få virksomheter øvelser i kontinuitetsplanen. 17
Rapportering av hendelser og informasjonssikkerhetsbrudd Over halvparten av virksomhetene hadde rutiner for å rapportere og håndtere hendelser og informasjonssikkerhetsbrudd. Omtrent halvparten av disse hadde imidlertid ikke konkretisert hvilke typer hendelser som skal loggføres og rapporteres som sikkerhetsbrudd. 18
Hva er utfordringene? Mangelfull ledelsesforankring av arbeidet med informasjonssikkerhet. For lav trussel- og risikoforståelse. Mangelfull grunnsikring. Mangelfull kompetanse på utvalgte områder. 19
Mine anbefalinger Erkjenn at dere har verdier og informasjon som andre er ute etter. Virksomheter vil aldri kunne sikre all informasjon. Det viktige er å identifisere informasjonen og informasjonssystemer som er av høyest verdi og sikre disse deretter. Husk på å gi opplæring til og kontinuerlig bevisstgjøre både ledere og ansatte i hvordan de kan påvirke informasjonssikkerhetsarbeidet. 20
Takk for meg 21