OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1
INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden Utfordringer fremover Tiltak SLIDE 2
Etablert som direktorat underlagt Forsvarsdepartementet og Justis- og beredskapsdepartementet I 2003. Basert på det sentrale sikkerhetsmiljøet i Forsvaret, men med et sektorovergripende mandat. Tverrsektorielt mandat Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser. Tilsynsmyndighet etter sikkerhetsloven. Nasjonalt ansvar for kryptosikkerhetstjenesten og sentral forvaltning av kryptomateriell. SLIDE 3
NASJONAL ORGANISERING FD JD FD har styringsdialogen med NSM ETJ NSM PST Offentlig Sektor Privat sektor SLIDE 4
- LOKALISERING Hovedkvarter Kolsås Base SLIDE 5
- LOKALISERING Kontor i Sandvika 2 avdelinger NSMs kompetansesenter for forebyggende sikkerhet. Kontor i Oslo SLIDE 6
NOEN AV VÅRE OPPGAVER Direktorat til støtte for politisk ledelse Koordinere forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden i de virksomheter som er underlagt sikkerhetsloven. Nasjonal og internasjonal koordinator Utøve funksjonen som nasjonalt sikkerhetsorgan (NSA) Utvikle sikkerhetstiltak Gi informasjon, råd og veiledning Forvalte godkjenning av sikkerhetstiltak Gjennomføre sentral personkontroll Føre tilsyn med virksomheter underlagt sikkerhetsloven SERTIT (Sikkerhet i IT produkter) Common Criteria NORCERT (Norwegian Computer Emergency Response Team) 7
- ORGANISASJON Direktør/ Assisterende direktør Forværelse Sikkerhet Internrevisjon Teknologi Sikkerhetsstyring Operativ Kontroll Plan og Strategi HR Kryptotjenester Personellsikkerhet Operasjonssenter Godkjenning Strategisk analyse Kommunikasjon Kryptoutvikling IKT-sikkerhet Personkontroll Objektsikkerhet Deteksjon Inntrengingstesting Tilsyn Virksomhetsstyring Drift og logistikk Informasjonsforvaltning Virksomhetssikkerhet Emisjonssikkerhet og sertifisering Tekniske sikkerhetsundersøkelser Prosjekt Teknisk analyse Informasjonsdeling SLIDE 8
ORGANISERING Justis- og beredskapsdepartementet Samordningsansvaret for samfunnets sivile sikkerhet, herunder forebyggende IKT-sikkerhet Nasjonal sikkerhetsmyndighet Nasjonale koordineringspunktet for nasjonale Aktører og tilsvarende organer i andre land og i internasjonale organisasjoner Sektorvise responsmiljøer Virksomheter (systemeier) Bindeledd mellom virksomhetene og NSM. Et viktig redskap for politisk myndighet i sektoren 1. linjes beredskap med primæransvaret for sikring og hendelseshåndtering. Ansvaret ligger hos virksomheten uansett om denne befinner seg i privat eller offentlig sektor. SLIDE 9
SENTRALE DOKUMENTER Sikkerhetsloven med forskrifter Nasjonal strategi for informasjonssikkerhet Rapport om sikkerhetstilstanden SLIDE 11
NOEN NØKKELTALL FOR 2013 SLIDE 12
Nyheter SLIDE 13
pr. 26 september 2014 antall saker: 8354 antall saker håndtert manuelt: 2678 antall alvorlige saker: 62 SLIDE 14
NASJONALT KOMPETANSESENTER FOR FOREBYGGENDE SIKKERHET Operativt fra august 2014 Åpent for alle (Noen unntak) Alle tidligere NSM kurs blir en del av porteføljen Nye kurs kommer fortløpende som f.eks. 2 dagens kurs i sikkerhetskultur og 1 dags kurs om sosiale medier og sikkerhet. Kurs publiseres på www.nsm.stat.no SLIDE 15
FFI RAPPORT For å bedre det forebyggende sikkerhetsarbeidet på en helhetlig og hensiktsmessig måte må norske virksomheter arbeide både kortsiktig og langsiktig med å bedre sikkerheten. På den ene siden bør det fokuseres på det området hvor vi faktisk kan utgjøre en forskjell på kort sikt. Eksempelvis bør det fokuseres mer på dokumentasjon av det forebyggende sikkerhetsarbeidet, for å sikre etterprøvbarhet og bevare kontinuiteten i sikkerhetsarbeidet når kritisk sikkerhetspersonell skiftes ut. SLIDE 16
Samtidig må det arbeides langsiktig med å rette opp i fundamentale årsaker, som for eksempel å bedre «sikkerhetskulturen» i virksomheten. Men det ligger i selve begrepet «kultur» at dette ikke er noe som kan endres raskt på. Ledere må engasjere seg mer i sikkerhetsarbeidet og ha tettere dialog med sikkerhetsorganisasjonen. Dette er helt avgjørende for å sikre at det bevilges ressurser som tar høyde for det aktuelle risikobildet. Økt fokus på sikkerhet på ledelsesnivå kan dessuten bidra positivt ved å øke sikkerhetsbevisstheten i virksomheten totalt sett. Det sentrale fremover blir å se årsaks kompleksiteten som en helhet og tillegge alle områdene tilstrekkelig vekt. SLIDE 17
Sikkerhetstilstanden SLIDE 18
ET KOMPLISERT VERDENS- OG SITUASJONSBILDE Norge påvirkes av konflikter over hele verden, også de vi ikke er en direkte part i PST rapporterer om mer spionasje enn under den kalde krigen Omfattende interesse for norsk kompetanse og norske verdier Behov for å spørre oss selv om hvilke verdier vi besitter 19
SIKKERHETSTILSTANDEN Nasjonale verdier utsatt for betydelig spionasje Økning i målrettede angrep mot norske interesser For mange sårbarheter i norske virksomheter SLIDE 20 Illustrasjon: colourbox.com
NSM oppdager sommeren 2014 at et større antall norske virksomheter i olje- og energisektoren er mål for et stort og målrettet dataangrep NSM varslet selskapene som var under angrep NSM har tilsammen varslet over 550 norske virksomheter relatert til sommerens angrep SLIDE 23 ILLUSTRASJON COLORBOX.COM
SITUASJONSBILDE OG TRENDER 2014 Mye ekstern fokus på sommerens hendelse Men, det er grunn til å tro at for trusselaktøren er sommerens kampanje et avsluttet prosjekt og de er godt igang med nye kampanjer og oppfølging mot de målene hvor de fikk fotfeste. «De kommer på jobb klokken 0800 og går hjem 1600» 24
Vi må regne med enda flere, og enda mere avanserte, forsøk på dataangrep og data- innbrudd i norske virksomheter. Her er norske virksomheter i førstelinjen. Dere må begynne med dere selv. Det gjelder både i det private og det offentlige. SLIDE 25
En liten leverandør med lav sikkerhetsbevissthet kan utgjøre en vesentlig sårbarhet for en stor kunde SLIDE 26
SLIDE 27
PROSESSER OG RUTINER Virksomhetene har ikke oversikt over egne verdier Virksomhetene har ikke foretatt tilstrekkelige risikovurderinger Virksomhetene har ikke oversikt over egen sikkerhetstilstand SLIDE 28 Illustrasjon: colourbox.com
TEKNISKE TILTAK Manglende implementering av «enkle» sikkerhetstiltak Manglende ressurser til å detektere og håndtere dataangrep Mangelfull kunnskap og kompetanse innen sikkerhet SLIDE 29 Illustrasjon: colourbox.com
LEDELSE Mangelfull styring av sikkerhetsarbeidet Sikkerhet blir sett på som en utgift, ikke en investering Ledere måles ikke på sikkerhet SLIDE 30 Illustrasjon: colourbox.com
Utfordringer fremover SLIDE 31
TRENDER Mer DDoS Innloggingsinformasjon på avveie Flere alvorlige sårbarheter Vannhullsangrep øker Spearphishing fra kompromitterte epost-kontoer 32
UTFORDRINGENE Kvaliteten på sikkerhetsarbeidet Sikkerhetstilstanden er ikke tilfredsstillende Sikkerhetsarbeidet utvikler seg ikke i samsvar med trusselbildet
EN ENORM KOMPETANSEUTFORDRING Illustrasjon: Flickr.com/Xin Li 88 CC BY-NC-SA
Tiltak SLIDE 35
Etableringen av Senter for cyber- og informasjonssikkerhet (CCIS) på Gjøvik er på sikt et viktig bidrag til økt informasjonssikkerhet i Norge SLIDE 36
AVSLUTTENDE BEMERKNINGER Hvorfor er ikke grunnsikring på plass? Virksomheter og systemeiere har et selvstendig ansvar for sikkerhet i egne systemer Forebygging og håndtering krever samarbeid på tvers! 37
TILTAKENE Som fagmyndighet for IKT-sikkerhet mener vi norske virksomheter må innføre flere tiltak for å redusere sårbarhetene i IKT-systemer. Dere må skjønne hva som skjer i det digitale rom. Dere må ta ansvar. Dere må skaffe gode sikkerhetsrådgivere, dersom dere ikke allerede har det. Dere må innføre NSMs fire enkle, tekniske tiltak, som stopper 90 prosent av alle dataangrep. SLIDE 38
TILTAKENE Flere av tiltakene presenteres her i dag Bruk anledningen til å knytte kontakter med oss i NSM, men også med andre fremmøtte. 39