Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Christian Meyer Norsk senter for informasjonssikring
Bevisstgjør om trusler Opplyser om tiltak Påvirker til gode holdninger «Dataverdens Trygg Trafikk» Vår visjon er at informasjonssikkerhet skal bli en naturlig del av hverdagen
Nasjonal sikkerhetsmåned 2014 HVORFOR TRENGER VI OPPLÆRING I INFORMASJONSSIKKERHET?
Hvorfor vil noen angripe meg? Basert på: Value of a hacked PC http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/ Nasjonal Sikkerhetsmåned 2014
Trusselbildet 2014 https://norsis.no/2014/05/losepengevirus-android-smarttelefoner/ http://www.digi.no/927587/lettere-aa-lage-android-skadevare http://www.digi.no/929276/300-000-har-faatt-varig-heartbleed Nasjonal Sikkerhetsmåned 2014
Trusselbildet 2014 https://norsis.no/2014/04/cryptolocker-pa-fremmarsj-norge/ http://www.digi.no/927176/internet-explorer-under-angrep http://www.digi.no/929081/lapper-mengder-av-ie-saarbarheter https://norsis.no/2014/05/skadevare-sprer-seg-pa-facebook-viadirektemeldinger/ Nasjonal Sikkerhetsmåned 2014
Dagens trusselbilde Sosial manipulering brukeren blir lurt.. - På alle måter Sårbare mobile platformer Follow the money Angriperene går etter sårbarheter i populære applikasjoner Enkle verktøy opplæring via YouTube Informasjon er salgsvare Målrettede angrep STORE PENGER Liten fare for straff
Trusselbilde Det kan være deg! Offeret Alle bedrifter kan bli utsatt for en sikkerhetshendelse, selv om du tenker at vi ikke har noen verdier for eksterne, er det fortsatt mulighet for innsiderangrep De fleste angrep er fra eksterne. Angriperen Økonomiske motiverte angrep er mest fremtredende. Spionasjesaker øker Betalings og bankinformasjon informasjon som raskt kan omgjøres til penger. Målet Påloggingsinformasjon er også populært men da gjerne for å komme videre til informasjon
Utklipp fra Dagbladet
Utklipp fra Dagbladet
Hva er informasjonssikkerhet Viktige egenskaper til informasjon: Konfidensialitet Informasjonen er hemmelig for uautoriserte brukere Tilgjengelighet Informasjonen er tilgjengelig når man trenger den. Integritet Informasjonen er korrekt og pålitelig Trusselaktører Naturkatastrofer Konkurrenter Kriminelle organisasjoner Hacktivister Nasjonal Sikkerhetsmåned 2014
Virksomhetens verdier Bedriftsinfo Patenter Oppfinnelser Nyheter Informasjon underlagt lover Personopplysninger Finansiell informasjon Helseopplysninger Omdømme og ekstern kommunikasjon Nettside Sosiale medier Intern kommunikasjonsløsning Regnskap Nasjonal Sikkerhetsmåned 2014
Ansatte påvirker informasjonssikkerheten Ansatte kan skade informasjonssikkerheten Falle for svindel Sende e-post til feil adressat Bruke svake passord Skrive sensitiv informasjon på sosiale medier Laste ned infiserte programmer Ansatte kan hjelpe informasjonssikkerheten Oppdage uønskede hendelser Rapportere og advare om uønskede hendelser Ansatte må være en integrert del av det helhetlige informasjonssikkerhetsarbeidet Nasjonal Sikkerhetsmåned 2014
Teknologiutviklingen 1) Barnevakt, eldreovervåking og overvåking av kjæledyr 2) Voldsalarmer med sporing, varsling og logging; 3) Personelloversikt utendørs; 4) Flåtestyring biler; 5) Friluftsliv og ekspedisjoner; 6) Etterforskning og fangeovervåking.
Internet of things Teknologien er driveren, standarder og lovverk er langt bak Cloud blir normen Effektivitet og økonomi Fra 5 mrd i dag til 20 milliarder sensorer i 2020 Biler, helse, klær, transport Alt som har batterier vil få en sensor.. Men er det designet for sikkerhet?
Apple Healthbook ++++
Flere saker kommer til overflaten Utklipp fra NRK
Verdens største tyveri I dag skjer historiens største overføring av immaterielle verdier Norske virksomheter er ikke forberedt Hva skjer når konkurrenten sitter på all informasjonen? Bilde Istock
Hvem er trusselaktøren? Kriminelle Hactivister Statsmakter Hvem som helst? Utilsiktede handlinger
Konsekvenser Ondsinnet programvare, generelle virus Nedetid, kostnader ved opprydding Målrettede angrep Tap av virksomhetsinformasjon og personopplysninger Tap av anseelse og omdømme Tap av forhandlingsposisjon, kontrakter og avtaler Tap av kunder Tap av tillitt
Det skjer også i Norge. Hackergruppen N0rSec stjal databasene til flere kunder ved et norsk webhotell Blant annet ble nettstedet narkoman.no rammet Epostadresser og passord-hasher ble gjort tilgjengelig på internett Kilde: narkoman.no og NSM
Brukerutfordringer
Bruker- og kundedata på avveier
Fokus på grunnsikring Verdivurdering Risikovurderinger Teknologiske tiltak Opplæring og kompetanseheving Øvelser og beredskap
Nasjonal sikkerhetsmåned 2014 PASSORD
De mest vanlige passordene Plass Passord Plass Passord 1 123456 14 letmein 2 password 15 photoshop 3 12345678 16 1234 4 qwerty 17 monkey 5 abc123 18 shadow 6 123456789 19 sunshine 7 111111 20 12345 8 1234567 21 password1 9 iloveyou 22 princess 10 adobe123 23 azerty 11 123123 24 trustno1 12 admin 25 000000 13 1234567890 Omtrent de samme hvert år. Norske versjoner vil ikke hjelpe nevneverdig Det finnes norske passordlister også Nasjonal Sikkerhetsmåned 2014
Gode huskbare passord Et Sommerferie2014 passord bør: 1. Være lett å huske og vanskelig å gjette 2. Være unikt mellom forskjellige tjenester 3. Være så langt som mulig SoMmerferri2014 4. sommerferie2014 Ha en utgått dato Passord basert på setninger er en gode vane Hele setninger eller første bokstaven somm rferie2014 i hvert ord Eksempler s0lsomm rferi1 «morn, jeg heter Kari» «Nthls11st» (Når trollmor har lagt sine 11 små troll) 1000tfefvoss! Tusen takk for en fantastisk varm og solfylt sommer Nasjonal Sikkerhetsmåned 2014
Passordhåndterere Ett passord brukes for å beskytte alle andre passord Fordeler Beskytter bra mot vanlige angrep Trenger bare å huske ett passord Mindre konsekvenser ved datainnbrudd på nettside Ulemper All sikkerhet i ett sted Lokal eller skybasert Lokal passordhåndterer gir deg full kontroll, men vanskeligheter når flere enheter brukes Skybasert gir enkel tilgang, men hvem har tilgang? Nasjonal Sikkerhetsmåned 2014
Sikker bruk av passordhåndterer Bruk et langt og sterkt master-passord Generer sterke tilfeldig passord for hver tjeneste Dette er passord som du ikke trenger å huske Ofte innebygd funksjon i programmet Krever at programmet finnes på alle enheter du bruker Vurder risikoen hvis du bruker skyen Her må du se om leverandøren er tillitsverdig Ta sikkerhetskopi av filen med passordene Nasjonal Sikkerhetsmåned 2014
To-faktor autentisering Autentisering er basert på: Noe du vet (f.eks. passord) Noe du har (f.eks. smarttelefon) Noe du er / gjør (f.eks. fingeravtrykk eller signatur) To-faktor autentisering krever to forskjellige faktorer passord og brikke for nettbanken Passord og engangskode via sms Nasjonal Sikkerhetsmåned 2014
God behandling av passord Ikke del passordet med noen Ikke la programmer huske passordet Med mindre du bruker en dedikert passordhåndterer Logg ut av tjenester når du er ferdig Spesielt viktig hvis det ikke er din PC Ikke skriv ned passordet Med mindre det er fysisk sikkert, f.eks i en safe Nasjonal Sikkerhetsmåned 2014
Nasjonal sikkerhetsmåned 2014 Nasjonal sikkerhetsmåned 2014
Informasjonen er verdien din Ta godt vare på den! Christian Meyer Tlf. 92 44 16 95 christian.meyer@norsis.no