Hvilke konsekvenser har skala for risiko- og sikkerhetsarbeidet i offentlig sektor? BDO AS v/geir Arild Engh-Hellesvik 29.10.2014 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 1
BDO lokalt og internasjonalt 67 67 kontorer over hele landet 55 000 55 000 ansatte globalt 1 100+ Over 1 100 kontorer 139 Tilstede i 139 land 1200 Over 1200 ansatte 1,2 Over 1,2 milliard NOK i omsetning BDO Norge BDO International 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 2
Kompetansehuset BDO Revisjon Andre attestasjonstjenester Risikostyring og internkontroll IT Revisjon IFRS/Børs REVISJON RÅDGIVNING Virksomhetsstyring og økonomisk analyse Risikostyring og internkontroll Granskning Internrevisjon Organisasjonsutvikling og operasjonell effektivitet Finansielle tjenester Sikkerhetstjenester Selskaps og konsernbeskatning Selskapsrett Merverdiavgift Transaksjonssrådgivning Internprising og annen grenseoverskridende transaksjoner Prosedyre SKATT & AVGIFT FORETAKS- SERVICE Regnskap og årsoppgjør Lønn Budsjett og likviditetsstyring Drift og effektivisering av økonomifunksjonen Selskapsetableringer, fusjoner/fisjoner og kapitalendringer Styrearbeide 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 3
Agenda Introduksjon til skala Hva er ultra large scale systems? Karakteristika Utfordringer Risiko Sikkerhet Spørsmål? 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 4
Bakgrunn for dette foredraget Allestedsnærværende IT alle gjøremål inkluderer på en eller annen måte et IT system, ofte flere Alle er online alt er tilknyttet alt Størrelsen på systemer av brukere, enheter, programvare og interaksjonene mellom disse øker (raskt) System av systemer systemer «samarbeider» om felles mål i «supersystemer» Noen relevante buzzwords: Internet of things, Cloud Computing, Big Data, Wearable technology, SOA 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 5
Bakgrunn forts. Linda Northrop m.fl. forskningsprosjekt i 2006 Ultra-Large-Scale Systems - The Software Challenge of the Future 1 års studie av en gruppe eksperter tilnyttet Software Engineering Institute ved Carnegie Mellon University, US Finansiert av Department of Defence http://www.sei.cmu.edu/uls/ Parallelt forskningsprosjekt i Storbritannia Large scale complex IT systems Flere parallelle prosjekter ved flere universiteter http://lscits.cs.bris.ac.uk/ 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 6
The strangeness of scale at Twitter 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 7
ULS Ultra Large Scale Systems ULS systemer har ekstrem størrelse i alle tenkelige dimensjoner: Antall enheter i systemet Antall linjer i programvaren Antall transaksjoner og datalinjer som lagres og behandles Antall brukere, direkte og indirekte Antall rutiner/prosesser, interaksjoner og grensesnitt Antall forvaltere og kontrollerende instanser Antall avhengigheter 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 8
ULS Ultra Large Scale Systems Noen karakteristika Desentralisert og distribuert struktur Kravstilling til systemet er motstridende, tidvis ukjent Kontinuerlig utvikling og implementering Enkeltelementer er heterogene, inkonsistente og i endring Grensen mellom menneske og system brytes ned Feil er normen ikke unntaket Nye rammer for anskaffelse og policy 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 9
Ett gammelt eksempel Økosystem Har diversifisert brukermasse med ulik agenda og motivasjon Komplekse avhengigheter og individuell oppførsel i systemet Iboende tilpasning gir robusthet ift forstyrrelser 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 10
Ett friskt eksempel 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 11
Økosystemet ULSS Sosiotekniske økosystemer som inkluderer mennesker, teknologi, organisasjon på alle nivåer med betydelige innbyrdes avhengighetsforhold Dynamiske grupperinger Samhandling mellom alle deler roller, ansvar og informasjon Konkurranse om ressurser Regler, insentiver og tilpasning 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 12
ULS Ultra Large Scale Systems De fins flere (potensielle) ULS systemer: Helse IT Forsvaret (Nettverksbasert Forsvar) Finanssektoren (Markedsplattformer og betaling) Kraftforsyningen (Smart Grid) Transport/luftfart/kjøretøy Og flere 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 13
ULS Ultra Large Scale Systems Generelt kan utfordringer knyttet til fremveksten av ULS systemer deles i 3 grove kategorier 1. Design og utvikling 2. Implementering og styring 3. Overvåkning og kontroll (herunder revisjon/verifikasjon) 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 14
Risiko
Risikovurdering utfordringer ULS systemer Uklare avhengigheter Dynamiske endringer Desentralisert styring Uoversiktlig omfang Intern inkonsistens 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 16
Primærtilnærming sikkerhetsrisiko Verdi Risiko Verdi = Metodikk Security - NS 5830-serien Safety ROS - NS 5814 Trussel Sårbarhet Verdi x Trussel x Sårbarheter = Risiko Tiltak (menneskelige, organisatoriske, tekniske) 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon Side 17
Sikkerhet
Sikkerhet - utfordringer Kjernekomponenter - felles tjenester Autonomi brukere og enheter Infrastruktur - «limet» mellom enhetene Integrasjon - grensesnitt Forvaltning (tilgangsstyring endringskontroll - drift) Feil som normalsituasjon 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 19
Statshemmeligheter 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 20
Oljeselskaper angrepet av hackere i sommer NSM har denne uken varslet en rekke virksomheter innen energi- og oljesektoren om forsøk på datainnbrudd Ifølge NSM er det avdekket 50 forsøk på datainnbrudd mot olje- og gassektoren. Forsøkene går gjerne gjennom vedlegg på epost - åpnes disse er risikoen for skadelig programvare inn i bedriften stor. Kilde: Computerworld, 27/8/2014 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 21
Telenor 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 22
Hvem er ansvarlig for datatyveri? Target Corporation in the US terminated the contract of it s sitting CEO Mr Gregg Steinhafel after 35 years with the company in the wake of a cyber attack that compromised the personal data of [110] millions of it s shoppers. This event has reverberated across every Boardroom around the world. Boards are now rightly asking the question of every CEO and CTO How secure are we? and now holding management fully accountable to that response. In Google We Trust Four Corners, ABC 9/9/2013; Symantec 2014 Internet Security Threat Report, Volume 19. 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 23
Sikkerhet - faser og helhetlig tilnærming Virksomhet System for risikostyring Operasjonell finansiell omdømme - sikkerhet -m.m. Hendelse Styring Forebygging Håndtering Sikkerhet Tiltak Beredskap Hendelseshåndtering System for sikkerhetsstyring Risikovurdering -> strategi / plan Personell - informasjon objekt Planlegge, øve Varsle, kommunisere, koordinere, forsterke, gjenopprette 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon Side 24
IKT-sikkerhet Må dekke det å: Forebygge Oppdage Reagere Gjenopprette Gjenopprette Forebygge Kan ikke sikre alt 100 % Ledelse Sikre de viktigste verdiene best mulig og ha kapasitet til å håndtere hendelser utover dette Reagere Oppdage 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 25
IKT-sikkerhet Arbeide med å utrede og på best mulig måte omsette virksomhetens sikringsbehov i praksis, innenfor virksomhetens rammer Rammer i denne kontekst dekker både menneske, organisasjon og teknologi Hvert område har sine særtrekk og tiltak må sees i en større sammenheng Mennesker Organisasjon Teknologi Lede og styre??? Operativ IKTsikkerhetsfunksjon Forebygge??? Detektere??? Total kapasitet Reagere??? Gjenopprette??? 29.10.2014 Nasjonal Fagkonferanse i Offentlig Revisjon 26
Geir Arild Engh-Hellesvik Tlf: +47 905 74 104 e-post: geir.arild.engh-hellesvik@bdo.no