UTS Operativ Sikkerhet - felles løft Olaf.Schjelderup@uninett.no 15 november 2016
Velkommen! 2
UNINETT Teknisk Samling høst 2016 Mandag 14.11 Tirsdag 15.11 10 9 Trådløst Mellomvare Operativ sikkerhet UH-Sky 16 16-17 Leverandørenes time 17 20 -> UTS middag i toppetasjen + faggruppemøter sky på onsdag
Toveis dialog : Online og offline Viktig: Gi oss tilbakemelding på hva dere ønsker. Send epost med ideer og bestillinger mot slutten av dagen: 4
Agenda 09.00-10.30: Velkommen! Praktisk detaljer, osv. Felles løft i sikkerhetsarbeidet v/uninett Modningav incident response, igjenogigjen v/margrete Raaum/FIRST/KraftCERT Hvorfor trenger vi informasjonssikkerhet? Sånn egentlig... v/christoffer Hallstensen, NTNU 10.30-11.00: PAUSE 11:00-11:40: UNINETT CERT Nyheter, sikringsmetoder, og nye ambisjoner/tjenester 11:40-12:00: PAUSE 12:00-13:00: UNINETT CERT Nyheter, sikringsmetoder, og nye ambisjoner/tjenester (forts.) 13:00-14:00 - LUNSJ 14:00-14:40: Sikkerhetsverktøy hos UiO CERT v/espen Grøndahl, UiO 14:40-15:00 - PAUSE 15.00-15:30: Erfaringer fra sikkerhetsanalyse, hvordankomme i gang v/uninett 15:30-17:00 Workshop sikkerhetsanalyse. Oppsett og tuning. Veiledning rundt bordet, spørsmål og svar. Vi har anledning til å trekke programmet lenger ut i tid ved behov. 5
UNINETTs nye sikkerhetsgruppe CSO og leder av sikkerhetsgruppen Olaf Schjelderup UH-sektorens sekretariat for informasjonssikkerhet Rolf Sture Normann (Leder) Øivind Høiem Tommy Tranvik CERT og Operativ sikkerhet Rune Sydskjør (Leder) Per Arne Enstad Øyvind Eilertsen Tor Gjerde Arne Øslebø Morten Knutsen SLIDE 6
Informasjonssikkerhetsturne 2016 målgruppe UH-ledelsen... med oppfølging på video 7
Mediebildet... 8
9
10
Det store spørsmålet: Hvordan griper vi dette an? Når vi mislykkes skylder vi på ledelsen, de har jo ansvaret? Men et bedre svar er: Vi må hjelpe ledelsen i å fatte riktige beslutninger! 15
Ledelsens problem og dilemma Toppledelsen har det formelle ansvar for informasjonssikkerheten Ansvar kan ikke settes ut, men myndighet og utøvelse kan delegeres Det er ledelsen som oftest blir stilt til veggs etter uønskede hendelser Informasjonssikkerhet handler om tiltak på mange nivå; arkitektur, systemutforming, kompliserte tekniske detaljer, organisering, ressurser, kompetanse, brukeratferd, beredskap m.m. Utøvelsen av et slikt ansvar i en ledergruppe er nærmest umulig uten en klar metodikk Et ledelsessystem for informasjonssikkerhet er et rammeverk utformet for å hjelpe ledelsen SLIDE 16
Sikkerhet har vi alle jobbet med lenge En referansemodell (de tre R-ene): V E R D I O V E R S I K T Robusthet Risiko Respons A V V I K S L U K K I N G Fra god oversikt til lukking av alle avvik 17
Robusthet og hendelsesrespons fordrer: Arkitektur Teknisk kvalitet Kompetanse Organisering Verktøy, verktøy og verktøy! Automatisering, automatisering og automatisering! 18
Risikobasert styring Etablering av ledelsessystem for informasjonssikkerhet, 3 deler: 19
Ledelsessystem for informasjonssikkerhet Styrende del: Klassifisering av informasjon (sensitiv, intern, åpen) Sikkerhetsmål (krav til konfidensialitet, integritet og tilgjengelighet) Ansvarsforhold (Toppleder, CSO, avdelings/fakultetsle dere, tjenesteeiere, operativt ansvarlig osv) Gjennomførende del: Alt starter med oversikt over informasjonsverdier Oversikten gir grunnlag for planlagte risikovurderinger (ROS) Lukke avvik; ansvarlig og tidsfrist Opplærings- og informasjonstiltak ROS er sølv, lukking av avvik er gull! Kontrollerende del: Ledelsens gjennomgang Revisjoner Oppfølging av avvik 20
Hva vi bør ha oversikt over pr. tjeneste: Hva gjør tjenesten Hvem er målgruppen Hvem er tjenesteeier Hvem er tjenesteansvarlig Medfører tjenesten lagring eller overføring av sensitive data, eventuelt interne data? Er det utført en risikovurdering for tjenesten, i så fall når, og gjelder den fremdeles (ingen endringer)? Hvilke lovkrav eller andre reguleringer legger føringer for tjenesten? Hvilke kontrakter eller avtaler legger føringer for tjenesten? Finnes det databehandleravtaler for tjenesten? Hva er tålegrensen for tilgjengelighetsbrudd? Finnes det eksplisitte krav til datakvalitet? Hvilke sjekklister for å sikre robusthet er utfylt for tjenesten? Hvilket tilgangsregime er det til informasjonen som forvaltes av tjenesten? Finnes det logger fra utøvelsen av tjenesten? Overvåkes tjenestens tilstand aktivt? Hva er den fysiske, topologiske og organisatoriske lokaliseringen av benyttet utstyr? Hvilke nøkkelpersoner og kompetanse må være tilgjengelig for fortsatt drift av tjenesten? Hvilke andre tjenester avhenger denne tjenesten av? Hvilke andre tjenester avhenger av denne tjenesten? Kan misbruk av tjenesten skade andre tjenester? BIA-score - eventuelt en tentativ plassering på en skala. (BIA = Business Impact Analysis) 21
Verdier utover tjenestene: Kontrakter/avtaler/forvaltning? Vår organisering/virksomhet? Vår kunnskap og våre ferdigheter? Prosesser og rutiner? Vår beredskap? Kultur og holdninger?
Eksterne trusselaktører Sporadiske hackere Aktivister (hacktivisme) Vinningskriminelle (økonomisk, utpressing) Virksomheter (konkurrenter) Nasjonalstater SLIDE 23
Interne trusler og sårbarheter (eksempler) Manglende ledelsesforankring Uklare ansvarsforhold Ressurs- og kompetansemangel, enkeltpersonrisiko Manglende oversikt over informasjonsverdier Uhensiktsmessig arkitektur og systemimplementasjon Manglende robusthet Manglende kvalitetskontroll Manglende dokumentasjon Mangelfull brukeropplæring Manglende testing av backup og reetablering For svak oppfølging av kjente sårbarheter Manglende monitorering av systemer og datakvalitet Manglende kriseplaner og øvelser Mangelfulle driftsrutiner SLIDE 24
KDs IKT-strategi om informasjonssikkerhet... arbeid som pågår nå, og som peker på: KDs og institusjonenes ansvar Institusjonenes ledelsessystem for informasjonssikkerhet Viktigheten av et SektorCERT Viktigheten av lokale responsmiljø Lokale operative oppgaver Nasjonal enhet må bistå sektoren med: Ledelsessystem Hendelseshåndtering SOC (Security Operation Center) / Analyser Bindeledd mot andre nasjonale og internasjonale aktører 25
Hva vi ønsker oss mer av: Monitorering, analyse, handlekraft ved funn Forebyggende drift (praksisnorm; patch innen 48 timer) Feilsøkbare løsninger, nyttige logger Sikker kommunikasjonsplattform i sektoren Oppvakte og bevisste brukere Responsfunksjon på samtlige institusjoner Se dagens agenda! 26
Tilbakemelding ønskes: Hva ønsker dere av tjenester sentralt fra? Hvilken samhandling ønsker dere? 27
Takk! 28