for Norge Senter for informasjonssikring (SIS) SINTEF, 7465 Trondheim Tlf: (+47) 73 59 29 40 Fax: (+47) 73 59 43 02 E-post: post@norsis.no Web: http://www.norsis.no Sist oppdatert: 4.
Innledning Bakgrunn Senter for informasjonssikring (SIS) har som en prioritert oppgave å presentere et helhetlig bilde av trusler mot IKT-systemer i Norge. Vi tar utgangspunkt i uønskede hendelser som kan påvirke konfidensialitet, integritet og tilgjengelighet. Dette vil også omfatte andre sikkerhetselementer som krav til sporbarhet og ikkebenekting. Vi har i våre analyser tatt hensyn til både utilsiktede og tilsiktede hendelser i tillegg til ekstreme hendelser som skyldes forhold utenfor virksomhetens kontroll ("acts of God"). Våre trusselbeskrivelser vil dog ikke omfatte de vanligste trusler mot fysisk sikkerhet (brann, vannskade etc.). Kilder Trusselbildet er basert på de kilder SIS har tilgang til, samt informasjon om hendelser som inntreffer. Det er derfor svært nyttig for SIS å bli informert om alle sikkerhetshendelser som virksomheter utsettes for. Dette vil øke nøyaktigheten i framtidige rapporter. Vi tar også svært gjerne imot kommentarer til de rapporter vi utgir. Ajourføring Et trusselbilde vil være dynamisk. SIS vil derfor periodisk oppdatere trusselbildet i forhold til relevante faktorer. Dette omfatter forhold som endring i teknologi, endring i anvendelsesområder og den foreliggende samfunnsmessige trusselvurdering. Kontakt SIS: tlf: 73 59 29 40 e-post: post@norsis.no web: http://www.norsis.no 2
Innholdsfortegnelse 1 SAMMENDRAG... 4 2 TRENDER... 6 3 SPAM... 7 4 E-POST... 8 5 VIRUS OG ORMER... 9 6 TJENESTENEKTING... 10 7 SINGLE-POINT-OF-FAILURE... 11 8 UTILSIKTET MENNESKELIG FEIL... 12 9 UTRO TJENER... 13 10 MISBRUK AV VIRKSOMHETENS RESSURSER... 14 11 TYVERI AV MOBIL ENHET... 15 12 IDENTITETSTYVERI... 16 13 MISBRUK AV TRÅDLØS KOMMUNIKASJON... 17 14 DATAINNBRUDD... 18 3
1 Sammendrag Gjennom oppslag i media får innbruddsforsøk via Internett stor oppmerksomhet. Vår erfaring er imidlertid at den største trussel mot IKT-systemer kommer innenfra. De fleste hendelser skyldes utilsiktede handlinger som gjerne oppfattes som feil og uhell, og som i de fleste tilfeller kan tilskrives menneskelig svikt. Samtidig viser tall fra "Datakriminalitet i 2001 en mørketallsundersøkelse", som ble utført av Næringslivets sikkerhetsorganisasjon (NSO) og Økokrim i 2001, at hver tredje gjerningsmann er en av virksomhetens egne ansatte. Dette underbygger kravet om at virksomhetene må satse betydelig mer på intern opplæring og holdningsbygging. Menneskelig svikt eller feilvurdering har også sammenheng med flere av de trusler som er omtalt i rapporten. Vi ser en økning når det gjelder tyveri av bærbar PC eller andre mobile enheter. Dette representerer stor sårbarhet dersom informasjonen som er lagret på disse ikke er tilfredsstillende sikret. Vi omtaler misbruk av virksomhetens ressurser som en trussel og erfarer at dette ofte skyldes dårlige holdninger blant de ansatte eller uklare retningslinjer for hva som er tillatt og ikke tillatt bruk. Stor utbredelse i bruk av Internett i Norge har gjort oss sårbare som følge av flere trusler. En av disse er at selve tilgangen til Internett svikter, enten som følge av feil hos leverandør eller i verste fall at leverandøren innstiller sin virksomhet (for eksempel ved konkurs). En annen effekt av utbredt bruk av Internett, er økt og hurtigere spredning av ondsinnet kode eller mer bevisst tjenestenektingsangrep. Vi har registrert en markert avkorting av tiden fra en sårbarhet blir kjent til angrep gjennomføres. I tillegg har vi sett at angrepene har blitt mer effektive ved at det på kort tid kan gjøres stor skade. Dette reduserer muligheten for å begrense skade selv ved rask varsling og reaksjon. Stadig mer informasjon om hver og en av oss er tilgjengelig elektronisk, noe som innebærer at identitetstyveri blir en stadig større trussel. Målet med identitetstyveri kan være ren økonomisk vinning, eller å oppnå uberettiget tilgang til en virksomhets systemer ved bruk av en av de ansattes identitet. Bruk av trådløse nett øker, og vi ser en økende andel angrep mot denne type infrastruktur både for interne og eksterne nett. Den sterke økning i bruk av e-post har også økt hyppigheten av truslene knyttet til misbruk av dette medium. I den siste tiden har spesielt "spam" (uønsket e- post) blitt et problem for mange virksomheter, og for mange vil spam i nær framtid utgjøre omlag halvparten av all mottatt e-post. I tillegg vil SIS rette oppmerksomheten mot mange virksomheters ukritiske bruk av e-post over Internett. E- post sendes vanligvis ukryptert, noe som medfører at uvedkommende kan skaffe seg innsyn og faktisk også endre innhold i meldingen. 4
Et typisk trekk ved mange av de trusler som SIS har dokumentert, er at de har vært kjent en viss tid. I mange tilfeller har mottiltak i form av oppgradering av programvare foreligget i lang tid. Likevel hører vi at virksomheter blir utsatt for vellykkede angrep. Dette faktum bør gi grunnlag for relevante tiltak i mange virksomheter. SIS ser at virksomheter i Norge har en utfordring ved inngåelse av avtaler om kjøp av IKT-tjenester. Slike avtaler bør bygge på en risikovurdering av tjenesten og inkludere informasjon om hvordan sikkerhet skal håndteres og hvem som har ansvar for å håndtere dette. 5
2 Trender 2.1 Spam Uønsket kommersiell e-post eller spam er et stadig økende problem som truer med å gjøre e-post ubrukelig som en generell kommunikasjonskanal. Det er grunn til å vente at mengden utsendt spam vil fortsette å øke, særlig med mer utbredt Internettilgang i land som Kina og Russland. Et nytt og raskt økende problem er formidling av spam via "chat"- ("instant messaging"-) programmer, for eksempel "Windows Messenger". Denne type uønskede meldinger kalles ofte spim. Samtidig foregår det arbeid på mange områder for å gjøre noe med spamproblemet. På den tekniske siden kommer nye løsninger for å filtrere spam før den når mottageren, for eksempel såkalt grålisting. Virksomheter som Microsoft og standardiseringsorganer som IETF arbeider med metoder for å gjenkjenne spam og identifisere spamkilder. Den føderale antispam-lovgivningen i USA ser ikke ut til å ha særlig virkning på mengden av spam. EUs program for et tryggere Internett vil bruke 50 mill. euro på å bekjempe bl.a. spam-problemet de nærmeste fire årene. I Norge foreligger det et forslag om innskjerping av forbudet mot utsending av spam. 2.2 Ondsinnet programvare (virus og ormer) Det er grunn til å anta at spredning av ondsinnet programvare (virus og ormer) vil fortsette å være det mest utbredte problemet for IT-brukere. De fleste nye eksempler på ondsinnet kode inneholder muligheter for installering av "bakdører" på infiserte maskiner. Dette gjør det mulig å utnytte maskinene til for eksempel tjenestenektingsangrep og utsending av spam. Etter som bærbare enheter som mobiltelefoner og PDA-er "lomme-pc" får utvidet funksjonalitet og kompleksitet vil de bli mer sårbare for angrep fra ondsinnet programvare. E-post er fremdeles den mest effektive kanalen for spredning av ondsinnet programvare, men stadig flere virus spres også via fildelingsprogramvare ("peer-topeer") som "Kazaa" og lignende. Det er også grunn til å vente spredning av virus gjennom "chat"-programmer, for eksempel "Windows Messenger". 2.3 Driftsutsetting ("outsourcing") av IT-tjenester Mange virksomheter har valgt å sette bort alle IT-funksjoner til eksterne leverandører, inkludert drift og sikkerhetsfunksjonalitet. I denne forbindelsen er det flere virksomheter som glemmer risikostyringen. Selv om underleverandøren utfører flere sikkerhetsfunksjoner, er det alltid virksomheten selv som rammes dersom en uønsket hendelse inntreffer, og dette ansvaret kan ikke settes bort. 6
3 Spam 3.1 Problembeskrivelse Spam er uønsket e-post, vanligvis med kommersielt formål, og som typisk sendes ut til mange mottagere. Problemet øker raskt i omfang; i januar 2004 var 63 % av all e-post som ble skannet av MessageLabs spam. MessageLabs antar at andelen vil nå 75 % i løpet av sommeren 2004. (www.messagelabs.com) Spam fyller opp e-postkasser og overbelaster nettverk og e-posttjenere. I tillegg er det stor risiko for at legitim e-post blir forvekslet med spam og blir slettet. I Norge er det ulovlig å sende ut e-post med reklame uten at mottageren har gitt eksplisitt tillatelse, men lovregulering mangler i mange land. 3.2 Sårbarhet Det er enkelt å få tak i e-post adresser i stort omfang fra nettsteder og salgsinformasjon. Disse adressene blir brukt til å sende ut e-post i stort omfang. Det er i utgangspunktet svært lave kostnader forbundet med å sende ut et enormt antall likelydende e-postmeldinger. Dermed er det regningssvarende for utsenderen selv om han får solgt svært få produkter. Mange virus og ormer installerer bakdører på infiserte maskiner, og disse kan bli utnyttet til å sende ut spam. Protokollene og standardene som definerer håndtering av e-post har få innebygde sikkerhetsmekanismer og mangler støtte for utsortering av uønskede meldinger. Mange e-posttjenere er ukorrekt satt opp ("åpne proxyer") og kan misbrukes av spammere. 3.3 Scenarier med konsekvenser Mye tid går med til å slette spam fra innboksen, og annen e-post forsvinner i mengden og kan bli slettet. E-posttjenere hos ISP-er og/eller virksomheter blir overbelastet på grunn av store mengder spam. Kunder og ansatte mister tilgang til e-post, tid og penger går med til opprydding, og viktig e-post kan gå tapt. En del spam har pornografisk innhold og både tekst og bilder kan være støtende for mottagere. 3.4 Tiltak for å redusere sårbarhet Vær varsom med å gjøre kjent e-postadresser. Ikke legg dem ut i klartekst på nettsider, og vær kritisk når du blir bedt om å oppgi din adresse. Bruk evt. ulike e-postadresser til ulike formål. Sørg for at maskiner som håndterer e-post er korrekt satt opp og konfigurert slik at de ikke kan misbrukes til å formidle spam. Benytt et anti-spamprogram for å sortere ut spam, helst på servernivå. Hold programvaren oppdatert. 7
4 E-post 4.1 Problembeskrivelse E-post har erstattet store deler av korrespondansen som tidligere gikk i papirform. I næringslivet har det blitt det dominerende kommunikasjonsmediet med kunder og partnere. Denne typen kommunikasjon blir som regel ikke loggført og arkivert, noe som betyr at store deler av saksbehandlingen foregår på en måte som er vanskelig å spore og gjenskape. 4.2 Sårbarhet Få virksomheter logger og arkiverer e-post som sendes til og fra de ansatte, selv den som inkluderer informasjon knyttet til bedriftens virke. Dokumenter som tilbud, avtaler, kontrakter og andre typer informasjon som involverer juridiske forpliktelser, utveksles per e-post uten at papirkopier sendes i tillegg som sikring. Papirkopier finnes det ofte arkiveringsrutiner for, men dette gjelder svært ofte ikke elektronisk post. En utfordring er at noe av e-posten kan være privat og skal ikke overvåkes av virksomheten. All virksomhetsrelatert e-post er heller ikke arkivverdig. 4.3 Scenarier med konsekvenser En medarbeider slutter og e-posten til vedkommende slettes. All informasjon går dermed tapt, inkludert saksbehandlingsdokumenter, avtaler og annen bedriftskritisk informasjon som ikke finnes i noe arkiv. En ukryptert e-post med et anbud vedlagt sendes mellom to bedrifter, mens en konkurrent avlytter linjen og får tak i anbudet. Denne kan da justere sitt anbud i henhold til dette og få tilslag. Uvedkommende avlytter e-post som sendes ut fra virksomheten og endrer på denne før den når rette mottaker. Rettsvesenet godtar elektroniske dokumenter som juridisk bindende, og avsender står derfor ansvarlig for den modifiserte informasjonen. 4.4 Tiltak for å redusere sårbarhet Virksomheten bør ha tydelige retningslinjer for hvordan bedriftssensitiv informasjon skal sendes, men også retningslinjer for hvordan man generelt kan redusere risikoen forbundet med e-post. Virksomheten bør vurdere mulige metoder for logging og arkivering av e- posten, og medarbeidere må få opplæring i hvordan de kan bruke e-post fornuftig og i henhold til retningslinjene. Alle e-postbrukere må være klar over at e-post i seg selv ikke er en sikker kommunikasjonsform og derfor bevisste i forhold til hva slags informasjon de sender elektronisk. Visuell kontroll; man bør alltid lese over hvilke mottakeradresser som er skrevet inn og hvilke dokumenter som er vedlagt før e-posten sendes. 8
5 Virus og ormer 5.1 Problembeskrivelse Ondsinnet programvare (virus, ormer og trojanske hester) er det sikkerhetsproblemet som berører flest brukere av IKT-systemer. Virus og ormer er programmer som lager kopier av seg selv og forsøker å spre seg til flest mulig systemer. Et virus trenger aktiv input fra en bruker for å kjøre, for eksempel aktivering av vedlegg til e-post, mens en orm er et frittstående program. En trojansk hest utfører skjulte funksjoner i tillegg til det som er synlig for brukeren, for eksempel "bakdører" som åpner for uautorisert innlogging på maskiner. 5.2 Sårbarhet Virus og ormer sprer seg ved hjelp av mange forskjellige teknikker: Via e-post: utnytter sårbarheter i e-postprogramvaren eller kjøres når mottageren åpner meldingen eller et vedlegg. Via fildelingsprogrammer: kopierer seg selv til katalogen med delte filer. Andre brukere laster ned filen og blir infisert. ("Swen", "Netsky") Via "chat"-programmer som IRC, ICQ, Windows Messenger o.l.: prøver å få mottagere til å klikke på en hyperlenke. ("Bizex") Via lokalnettverk: viruset kopierer seg selv til filer med "interessante" navn eller til oppstartskatalogen. ("Netsky", "MyDoom") Ved hjelp av sikkerhetshull i programvare. ("Blaster", "Slammer") 5.3 Scenarier med konsekvenser Viruset installerer "bakdører" på brukerens maskin slik at den kan brukes til å sende ut spam eller delta i tjenestenektingsangrep. ("MyDoom", "Sobig.F") Viruset registrerer/stjeler passord til systemer eller eksterne applikasjoner (nettbank etc.) og sender passordene til eksterne mottagere. ("Dumaru") Viruset sletter visse typer filer på infiserte maskiner. ("MyDoom.F") Viruset sender kopier av filer som er lagret på maskinen til uvedkommende. ("Klez") 5.4 Tiltak for å redusere sårbarhet Installer antivirusprogramvare og hold den oppdatert. Sørg for virusskanning av all innkommende e-post. Oppdatering bør skje automatisk. Vedlegg til e-post fra ukjente avsendere bør aldri åpnes. Vær også forsiktig med e-post fra kjente avsendere; kontakt evt. avsender før du åpner vedlegg. Stol ikke på ikoner som representerer vedlegg til e-post. Vær oppmerksom på filnavn med "doble" suffikser, for eksempel filnavn.gif.bat. Aktiver sikkerhetsmekanismer i e-postprogramvare; skru av automatisk åpning av vedlegg og automatisk visning av e-post. Sørg for å regelmessig laste ned oppgraderinger til all programvare. Publiserte sikkerhetshull er spesielt utsatt for angrep. Bruk helst automatisk oppdatering av programvare, for eksempel Windows Update. 9
6 Tjenestenekting 6.1 Problembeskrivelse Tjenestenekting oppstår når en tjeneste er utilgjengelig over lengre tid, og dette ikke er en del av planlagt nedetid for tjenesten. Tjenestenektingsangrep kan være målrettet mot en tjeneste, eller ramme tilfeldig. 6.2 Sårbarhet For mange nettbaserte tjenester er båndbredde beregnet ut i fra forventet bruk, og ikke skalert til å håndtere ekstreme mengder trafikk som et tjenestenektingsangrep vil forårsake. 6.3 Scenarier med konsekvenser Et målrettet tjenestenektingsangrep settes opp mot en utpekt tjeneste ved at flere maskiner bombarderer tjenestemaskinen med trafikk samtidig. En annen alternativ metode for målrettede tjenestenektingsangrep er å bruke mellomledd for å gjøre det vanskelig å spore tilbake til gjerningsmann. Vi har i det siste sett flere eksempler på virus og ormer som installerer bakdører på angrepne maskiner. Bakdøren kan være i form av programkode som på et gitt tidspunkt starter et tjenestenektingsangrep fra alle de infiserte maskinene mot ett eller flere utpekte mål. Tjenestenekting kan også være en bieffekt av andre typer angrep. For eksempel kan spam og virus medføre så store mengder trafikk mot en e-postserver at serveren går ned, og e-posttjenesten blir utilgjengelig. 6.4 Tiltak for å redusere sårbarhet Oppdaterte sikringsmekanismer, og oppfølging av patching, både av virksom hets- og hjemmemaskiner. For å minimalisere effekten av distribuerte angrep (DDoS) er det nyttig å øke båndbredden for en tjeneste (f.eks. nettsted). Dette innebærer å planlegge for et trafikkvolum som langt overskrider den normale trafikkmengden til tjenesten. Dermed blir det meget vanskelig å overlaste en tjeneste for å få et vellykket distribuert tjenestenektingsangrep. Implementere redundans i tjenesten. Identifisèr om du har svakhetspunkt (single-points-of-failure) for en tjeneste og bruk backup-servere. En angriper kan omdirigere sitt angrep til det nye systemet, men dette øker risikoen for å bli oppdaget og gjør det vanskeligere å gjennomføre et angrep. Generell god sikkerhet kan forhindre at maskinene dine blir brukt til slike angrep. Bakdører til system blir ofte installert på kompromitterte maskiner. Disse maskinene blir nye angrepsagenter for distribuerte angrep på andre eller egne mål. 10
7 Single-point-of-failure 7.1 Problembeskrivelse Kontinuerlig tilgang til Internett, som informasjonskilde og kommunikasjonsmedium, er stadig viktigere i det daglige arbeidet i norske virksomheter. Dersom disse tjenestene er utilgjengelige over lengre tid, og uten forvarsel, vil det for de fleste medføre tap av inntekter og økte kostnader. 7.2 Sårbarhet De økte kravene til tilgjengelighet av informasjon og tjenester på Internett har utviklet seg over tid uten at dette er reflektert i krav til infrastrukturen som utgjør Internett og driftsavtalene med ISP ene (Internet Service Provider) som har ansvaret for virksomhetens tilkobling til Internett. Svært få har avtaler som setter krav til redundans i infrastruktur for å sikre tilstedeværelse av tjenester også dersom en del av et nettverk angripes. Enda færre har avtaler med alternative ISP er dersom hovedleverandøren ikke er i stand til å levere over lengre tid. ISP ene er avhengige av å benytte hverandres nettverk for å kunne tilby fullgod tilgang til Internett. Dette reguleres gjennom samtrafikkavtaler mellom ISP ene. Det er summen av alle sammenkoblede nettverk som til sammen utgjør Internett. Dette medfører at dersom en ISP utsettes for et angrep som medfører at deres nett går ned, vil dette også kunne få konsekvenser for andre ISP er og deres kunder. 7.3 Scenarier med konsekvenser En virksomhet kan miste sin tilgang til Internett og/eller få nedetid på sine webtjenester som følge av: Tjenestenektingsangrep rettet mot sentrale enheter i ISP ens infrastruktur. Angrep rettet direkte mot virksomhetens eget nett. Uforutsett nedetid som følge av tekniske problemer ved oppgradering av maskin-/programvare i ISP ens infrastruktur. 7.4 Tiltak for å redusere sårbarhet Ved inngåelse av avtale med en ISP, bør man sørge for at avtalen inneholder krav om: Jevnlig risikovurdering av egne tjenester. Oppgradering av teknologi og rutiner for å ivareta et akseptabelt nivå av motstandsdyktighet i forhold til aktuelle trusler. Dokumenterte beredskapsplaner og redundans i infrastruktur. 11
8 Utilsiktet menneskelig feil 8.1 Problembeskrivelse Det er et faktum at de fleste uønskede hendelser mot IKT-systemer skyldes utilsiktede handlinger forårsaket av virksomhetens egne ansatte eller tredjepart som jobber for virksomheten. Problemet øker gjerne i takt med systemenes kompleksitet og alder. 8.2 Sårbarhet Utilsiktede hendelser kan inntreffe hvor som helst. Det er derfor vanskelig å etablere varslingssystemer som kan fange opp disse hendelsene. Dette med-fører at utilsiktede hendelser avdekkes senere enn tilsiktede handlinger, og dette gjør det mer komplisert å reparere skaden. I tillegg er nødrutiner og beredskaps-planer normalt etablert med tanke på forventede hendelser. Sikkerhet er i stor grad basert på at brukerne selv tar ansvar for å overholde regler ved bruk av systemet. Med økt antall brukere øker også sannsynligheten for at noen bryter reglene, enten med overlegg eller ved et uhell, og med økt omfang øker også konsekvensene. 8.3 Scenarier med konsekvenser Små hendelser, for eksempel virusangrep, kan lett spre seg og bli et større problem fordi en unnlater å rapportere eller ikke kjenner rapporteringsveier eller relevante mottiltak. Installasjon av nye systemer med standard-innstillinger. Dette kan lede til at systemer installeres med kontoer og passord som inngår i standard-oppsett. Leder gir medarbeider beskjed om å omgå regler fordi det haster med en leveranse, og man mener man ikke har tid til å følge vanlige rutiner. Medarbeider røper sensitiv informasjon til uvedkommende slik at informasjonen kan misbrukes. 8.4 Tiltak for å redusere sårbarhet Kampanjer for økt sikkerhetsbevissthet blant de ansatte. Utforme klare regler og retningslinjer for hva som er tillatt og hva som ikke er tillatt for brukere av et system. Periodisk informasjon om, og forbedring av rutiner. Prosesser som krever menneskelig inngripen, må være organisert og dokumentert med tanke på lavest mulig risiko. Det må etableres enkle og hensiktsmessige rapporteringsveier ved oppdagelse av brudd relatert til informasjonssikkerhet. Ledere i virksomheten skal gå foran som gode eksempler og la risikostyring inngå i alle prosesser og lederfora. 12
9 Utro tjener 9.1 Problembeskrivelse En utro tjener er en ansatt som misbruker virksomhetens tillit og tilgang til intern informasjon for å oppnå uberettiget egen gevinst eller forårsake skade. Datakriminalitet i 2001 en mørketallsundersøkelse, utført av NSO og Økokrim, viser at hver tredje gjerningsmann er en av virksomhetens egne ansatte. 9.2 Sårbarhet En virksomhets ansatte har stor kunnskap om virksomheten og ofte tilgang til intern informasjon gjennom arbeidet de utfører. Dette gjør virksomheten sårbar overfor angrep fra egne ansatte. Gjennom sin kunnskap og tilgang kan de påføre virksomheten stor skade, ofte større enn hva enn ekstern angriper er i stand til å gjøre. 9.3 Scenarier med konsekvenser En ansatt blir sagt opp og rekker å hente ut sensitiv informasjon før tilgangen til virksomhetens ressurser blir sperret. Den tidligere ansatte tar med seg informasjonen i sin nye jobb eller selger den til en konkurrerende virksomhet. Den ansatte kan eventuelt også legge inn mekanismer for å få adgang til virksomhetens systemer etter at han/hun har sluttet i jobben. En ansatt selger intern informasjon om virksomheten til konkurrenter for egen økonomisk vinning. En ansatt ønsker å ramme egen virksomhet og slipper løs ondsinnet kode (virus/orm) fra klient på virksomhetens interne nettverk. Dersom virksomheten kun har forsvarsmekanismer ved grensene mot eksterne nett, blir ikke dette fanget opp og stoppet, men kan spre seg fritt på virksomhetens interne nett og forårsake store problemer. 9.4 Tiltak for å redusere sårbarhet Elektronisk overvåking av nettverkstrafikk/kommunikasjon på internt nettverk for å detektere angrep innenfra. Beskytte også enkeltmaskiner i virksomhetens nett viruskontroll på alle klienter, personlige brannmurer og overvåkning på klientnivå. Rutiner/reglement for å hindre at ansatte kan ta med seg sensitiv informasjon videre i en ny jobb. Dette kan være i form av bestemmelser nedfelt i ansettelseskontrakt el. som gjør det mulig å forfølge brudd på reglementet med juridisk søksmål. Grundig bakgrunnssjekk av søkere ved nyansettelser for å unngå å ansette personer som tidligere har vært involvert i kriminalitet av uønsket karakter. Gjennomgang/kontroll av egenutviklet programvare for å detektere bakdører som kan være bygget inn av utro tjener, som har deltatt i utviklingen av programmet. 13
10 Misbruk av virksomhetens ressurser 10.1 Problembeskrivelse Deler av virksomhetens ressurser benyttes til formål som ligger langt utenfor primær virksomhet. Dette er mulig fordi brukerne har tilgang til store ressurser, mens retningslinjer for bruk, samt kontrollrutiner, mangler. Virksomheter er utsatt for slikt misbruk både fra interne brukere og utenforstående som bryter seg inn. 10.2 Sårbarhet Bruk av ressurser til uautoriserte formål, kan svært ofte føre til reduserte ressurser til primærvirksomhet med tilhørende redusert tilgjengelighet til virksomhetens IT-tjenester. Dette gjelder både båndbredde og lagringsplass. Dessuten utsettes virksomheten på denne måten for trusler som ikke er forbundet med virksomheten, og som derfor ikke inngår i noen risikovurdering. En annen sårbarhet ligger i at nedlasting og/eller distribusjon av f.eks. filmer og musikkfiler ofte foregår via fildelingsprogram. Flere virus, ormer og bakdører spres via slike programmer, og de vil kunne ramme virksomhetens systemer i tillegg til å spre seg videre fra virksomhetens nettverk. 10.3 Scenarier med konsekvenser Brukere laster ned store mengder film, musikk og/eller pornografisk materiale og distribuerer dette videre via virksomhetens servere. Brukere benytter virksomhetens dataressurser til egen privat forretningsvirksomhet. Dette kan føre til redusert tilgang på ressurser. Utenforstående gjør innbrudd på servere og kan gjennomføre ovennevnte scenarier i tillegg til å bruke virksomhetens servere til utsending av uønsket e- post/spam. Bedriften kan oppfattes som avsender. Når forhold av ovennevnte karakter avdekkes, kan virksomheten få negativ presseomtale. Dessuten kan hendelsene være brudd på lover og forskrifter med fare for påtale og straff også for virksomheten. 10.4 Tiltak for å redusere sårbarhet Virksomheter må informere ansatte om hva de har lov til med hensyn til bruk av arbeidsgivers ressurser. Det er hver enkelt virksomhet sitt ansvar å sette rammene. Holdningsskapende tiltak vil gjøre det lettere å forstå hva som er rett og galt. Ansatte må skriftlig bekrefte at de er kjent med regelverket. Virksomheten må gjennomføre nødvendige kontroller for å følge opp at retningslinjer etterleves. Slike kontroller omfatter overvåking av bruk av lagringsressurser samt nettrafikk innen de begrensninger som lovverket setter. 14
11 Tyveri av mobil enhet 11.1 Problembeskrivelse Årlig forsvinner flere tusen bærbare PC'er, mobiltelefoner og PDA'er som følge av tyveri eller gjenglemming. Disse mobile enhetene får stadig større funksjonalitet og lagringskapasitet og vil ved tap kunne føre til at informasjon går tapt. Økte anvendelsesområder gjør at disse enhetene vil være med oss overalt, noe som øker sannsynligheten for tap/tyveri. 11.2 Sårbarhet I de fleste tilfellene vil ikke tap av selve enheten representere større tap. Sårbarheten vil heller knyttes til informasjonen som var lagret på enheten. Grunnen til at man bruker en mobil enhet, er nettopp at man ønsker å bringe denne med seg i forskjellige arbeidssituasjoner for å ha lett tilgang til informasjonen. Eksempel på slik informasjon er tilbud, konstruksjoner eller presentasjoner. Dersom PC som brukes for tilgang til nettbank blir stjålet, kan software-sertifikat eller kredittkortinformasjon komme i uvedkommendes hender. 11.3 Scenarier med konsekvenser Eksempel på hendelser hvor bærbar PC (eller annen mobil enhet) tapes: Tyveri fra kontor, privathjem, hotell, konferansesal, møterom, garderober eller bil. Tyveri fra flyplass ved at den reisende blir oppholdt i forbindelse med sikkerhetssjekk, mens PC-vesken går gjennom kontrollen hvor tyvens partner raskt fjerner denne. PDA eller mobiltelefon glemmes i taxi, fly, flytog eller liknende. 11.4 Tiltak for å redusere sårbarhet Tiltak for å hindre tyveri og det materielle tap: Ikke oppbevare mobil enhet uten tilsyn f.eks. på hotell, i bilen. Sikkerhetsmerking av PC reduserer omsetningsverdien. God adgangskontroll til kontor. Sikre PC med sikkerhetslenke. Tiltak for å redusere virkninger av tyveri: Kryptering av informasjonen (også mulig på PDA'er og noen mobiltelefoner). God tilgangskontroll til PC med bruk av passord eller biometrisk autentisering. Sikkerhetskopi av data. 15
12 Identitetstyveri 12.1 Problembeskrivelse Identitetstyveri er når en person utgir seg for å være en annen gjennom misbruk av personopplysninger. Hensikten er som oftest økonomisk vinning, enten gjennom bedrageri, tyveri, dokumentforfalskning eller andre ulovlige handlinger. 12.2 Sårbarhet Opplysninger som kredittkortnummer, navn og fødselsnummer legger vi igjen overalt. Det er lett å ukritisk oppgi sensitive opplysninger på nettet, også til noen man ikke nødvendigvis vet hvem er, samt at eventuell manglende kryptering åpner for at uvedkommende kan avlytte linjen og få tak i disse opplysningene. Innbrudd på datasystemer hvor personopplysninger, eller informasjon som kan lede til slike, er lagret, eller gjennomleting av posten eller søppel hvor det både hos bedrifter og enkeltpersoner kan ligge mye interessant informasjon er et par av metodene som blir benyttet ved identitetstyveri. 12.3 Scenarier med konsekvenser En svindler har samlet informasjon om Ola Nordmann og har fått utstedt legitimasjon med hans navn og sitt eget bilde. Svindleren bestiller deretter et kredittkort i Ola Nordmanns navn og bruker det som om det var hans eget. Ola Nordmann får etter en stund regning for bruken av dette kredittkortet, og oppdager svindelen. Kortutstederen er den store taperen, fordi de har utstedt et kredittkort basert på falske personopplysninger. Den samme svindleren arbeider som spion for sitt hjemland, får jobb i Ola Nordmanns navn, og kan bedrive industrispionasje. Virksomheten har ikke ansatt den personen de tror de har ansatt og kan oppleve store økonomiske tap, og sensitiv informasjon kan komme på avveie. 12.4 Tiltak for å redusere sårbarhet I Norge har finansinstitusjoner lov til å bruke en persons fødselsnummer for å kontrollere hans/hennes identitet. Det er dessuten ikke tillatt å gi kreditt uten å sjekke kjøpers identitet. Foretas det en kredittsjekk av kjøpers konto, skal kontoeier ha skriftlig beskjed i etterkant. På denne måten kan det raskt bli avslørt om noen har bestilt et kredittkort i en annens navn. I tillegg er det noen enkle tiltak enkeltpersoner selv kan gjøre for å beskytte seg: Vær forsiktig med å utlevere/legge igjen personopplysninger, både på papir (f.eks. kontoutskrift) og i elektronisk form (f.eks. netthandel). Makulér dokumenter eller kvitteringer som kan gi uvedkommende verdifulle opplysninger om de blir funnet. Ved handel på nettet, er det viktig å kontrollere at all informasjon er kryptert når den overføres. Dette kan enklest gjøres ved å se at det står "https://", og ikke "http://", i adressefeltet i nettleseren. 16
13 Misbruk av trådløs kommunikasjon 13.1 Problembeskrivelse Flere og flere virksomheter og privatpersoner har gått over til å bruke trådløse nettverk internt i virksomheten eller hjemmet. Mange benytter bærbare pc-er, og med trådløst nettverk kan pc-en brukes hvor som helst i bygget. Imidlertid er det mange som ikke tenker på sikkerheten når de kjøper inn og setter opp utstyr. Svært mange trådløse nett er helt åpne, slik at enhver som befinner seg i nærheten med en pc med WLAN-kort kan både avlytte trafikken og koble seg til nettet. 13.2 Sårbarhet Med et kabelbasert nettverk er det nødvendig med fysisk tilknytning for å få tilgang til maskiner og nettrafikk. Dersom datanettverket ditt ikke er koblet til omverdenen (Internett), må man ha fysisk tilgang til nettet for å få tilgang til dine data. Med Internett-tilknytning er du utsatt for inntrengere utenfra, men de er henvist til å gå via de(n) maskinen(e) som er knyttet direkte til nettet, og du kan sette i verk spesielle tiltak for å sikre kontaktpunktene. Med et trådløst nettverk kan en inntrenger få tilgang til ditt nett selv uten fysisk tilgang til dine lokaler. Det er heller ikke nødvendig å gå via dedikerte kontaktpunkter. 13.3 Scenarier med konsekvenser I et trådløst nettverk som ikke er beskyttet, går trafikken i klartekst og kan enkelt avlyttes. Utenforstående kan dermed tilgang få tilgang til bedriftsinterne (konfidensielle) data og passord o.l. Svært mange nettverk er beskyttet med et hardt "skall" (brannmurer o.l.), men har svært få begrensninger derom man først har fått tilgang til nettverket. En inntrenger kan bruke det trådløse nettverket til å gjennomføre angrep på interne maskiner. Hvis ditt trådløse nettverk ikke er beskyttet, kan utenforstående som befinner seg i nærheten benytte nettverket til sine private formål. Dermed mister du nettverkskapasitet, og ditt nett kan benyttes til å distribuere "spam" og ulovlig og/eller opphavsrettslig beskyttet materiale. 13.4 Tiltak for å redusere sårbarhet Sørg for at sikkerhetsfunksjonene er skrudd på. Alt utstyr som støtter IEEE 802.11-standardene skal i hvert fall støtte WEP (Wired Equivalence Protocol). Det er alvorlige svakheter i denne protokollen, og sikkerhetsmekanismene kan forseres ved hjelp av programvare som er tilgjenglig på Internett. Likevel vil WEP motvirke angrep fra "tilfeldige" hackere. For å forsvare et trådløst nett mot angrep fra dedikerte inntrengere, bør man ta i bruk den utvidete sikkerhetsfunksjonaliteten som er spesifisert i "Wi-Fi Protected Access" (WPA). WPA er basert på en draft-versjon av standarden IEEE 802.11i "MAC Enhancements for Enhanced Security", som er under arbeid. 17
14 Datainnbrudd 14.1 Problembeskrivelse På Internett er det lett å finne programmer man kan bruke til utnytte kjente sårbarheter i datasystemer, og mange av disse programmene kan brukes uten spesielle endringer eller tilpasninger, altså kan hvem som helst benytte dem. "Script kiddies" er en betegnelse på crackere som benytter verktøy laget av andre for å utføre datainnbrudd og deres handlinger er ofte motivert i spenning og underholdning. De mer avanserte crackerne er mer målbevisste med sine handlinger. Deres hensikter kan være å stjele konfidensiell informasjon fra virksomheten, sette virksomhetens systemer ut av drift eller utnytte virksomhetens ressurser i form av diskplass eller båndbredde. 14.2 Sårbarhet De fleste angrepsverktøyene som ligger åpent ute på nett utnytter svakheter og sårbarheter i programvare og systemer som har vært kjent en stund. Dermed er man sårbar om man ikke har tettet sikkerhetshullene i sine systemer med oppdateringer som har blitt gjort tilgjengelig. Crackere bruker ofte verktøy som er mer avansert enn de som ligger åpent ute på nett, til å gjennomføre angrep. Slike innbrudd kan være vanskelig å avdekke, spesielt om det ikke er iverksatt overvåkingssystemer på systemet. Egne ansatte kan være et svakt punkt. Mange crackere benytter såkalt "social engineering" i sitt arbeid, hvilket vil si å erverve kunnskap om virksomheten gjennom å få ansatte selv til å avsløre nødvendig informasjon for å få tilgang til systemet. Slik informasjon kan være passord, hvilke datasystemer som kjøres, hvor sentrale servere er plassert etc. 14.3 Scenarier med konsekvenser Industrispionasje - en cracker bryter seg inn og legger inn en bakdør på systemet. Bakdøren vil gi vedkommende adgang til systemet og dermed muligheter for å lese og stjele informasjon fra virksomheten. Uvedkommende bryter seg inn i virksomhetens nett og endrer nettsidene uautorisert slik at disse viser feilaktige opplysninger ( defacing ). Crackere oppnår tilgang til filserver(e) og benytter disse til å dele større mengder informasjon med andre. 14.4 Tiltak for å redusere sårbarhet Jevnlige sårbarhetsscanninger og kontroller av egne systemer vil kunne avdekke hvilke sikkerhetshull som eksisterer og som dermed kan utnyttes av inntrengere. Programmer som ikke benyttes eller er nødvendige for forretningsvirksomheten, bør fjernes. Patching. Det viktigste tiltaket er å sørge for at de kjente sikkerhetshullene er tettet. Overvåking og filtrering av trafikk ved hjelp av system for inntrengningsdeteksjon (IDS) og brannmur. 18
Integritetskontroll. Slike systemer kan avdekke uautoriserte endringer i konfigurasjoner og systemfiler, noe som ofte kan inntreffe ved et crackingangrep. Bevisstgjøring av egne ansatte, for eksempel i form av holdningskampanjer. 19