Planlegging av sikkerhetsmåneden i SSB Tore Eig, sikkerhetsrådgiver 1
Kort om SSB Statlig virksomhet med ansvar for innsamling, bearbeiding og formidling av statistikk Omtrent 350 statistikker Omtrent 950 offentliggjøringer av ny statistikk i 2014 To lokasjoner: Oslo (ca 540) og Kongsvinger (ca 330) + ca 180 intervjuere Sikkerhetsteam i adm (2*jus/PVO, fysisk, IS) 2
Litt om bakgrunn for hvordan vi grep an sikkerhetsmåneden 2016 Nyansattkurs relativt regelmessig Har benyttet dilemmatrening med god tilbakemelding Få regelmessige opplæringsaktiviteter utover dette Vi har benyttet Junglemap flere ganger - blandet erfaring RoS 2015 har påpekt behov for bevisstgjøring Påbegynt en plan starter med sikkerhetsmåneden Noen eksempler fra avviksmeldinger med å klikke på vedlegg i epost => ransomware noen glipp ved avslutning av arbeidsforhold passord i klartekst 3
Oppstart Idédugnad i uke 26 Personal (m/ opplæringskompetanse) + sikkerhet Benyttet mal fra Difi https://www.difi.no/sites/difino/files/plan_for_gjennomforing_av_sikkerhet smaneden_-_til_bruk_i_virksomhetene.pdf 4
Behovskartlegging #1 (Difis mal) Målgruppe Hele virksomheten Spesielle grupper: ledere Spesielle områder vi ønsker å fokusere på: Data på avveie er SSBs høyeste risiko i h.h.t. risikovurdering. De fleste kompromitteringer starter med en tilsynelatende relevant epost, men som viser seg å inneholde skadevare eller link til skadevare. Dette kan være begynnelsen på et angrep som f.eks. kan ende med data på avveie. Sosial manipulering. Henvendelser enten elektronisk eller personlig kan være begynnelsen til sosial manipulering. Slik manipulering kan foregå over måneder og år for å oppnå et mål f.eks. tilgang til SSBs informasjon. Hva ønsker vi å oppnå med å gjennomføre sikkerhetsmåneden Forbedre lederes bevissthet om hvilket ansvar de har relatert til informasjons-sikkerhet. Forbedre ansattes bevissthet om utfordringer vedr informasjonssikkerhet i hverdagen. Hva kan hver enkelt av oss gjøre for å bidra til ytterligere å sikre SSBs informasjon? 5
Behovskartlegging #2 Ledelsesforankring. Hvordan skal ledelsen involveres? Ledelsen orienteres om planene og godkjenner planene. Alledermøtet i september inneholder en motivasjonsbolk for sikkerhetsmåneden med et foredrag fra NSM «Din digitale adferd viktig for deg og din arbeidsgiver» og orientering om planene for sikkerhetsmåneden. En av aktivitetene tidlig i sikkerhetsmåneden er arbeidsmøter med ledere f.eks. avdelingsvis for å øke bevisstheten og å skape forankring. Som forberedelse må gjøres Hyre inn eksterne krefter til et motivasjonsforedrag på alledermøtet 20.09 og til workshops med de ansatte 18.10 og 25.10. Planlegge arbeidsmøtene med ledere. Planlegging av workshops med de ansatte på begge steder (eksternt foredrag + dilemmatrening) Rekruttering og opplæring av sikkerhetsagenter i forkant av oktober. Disse rekrutteres fortrinnsvis blant relativt nyansatte. Sikkerhetsagentene deltar på de berammede møtene som det er naturlig å delta på, samt at de «lobbyerer» i sine miljøer i hverdagen. Anskaffe materiell Utstyr til dilemmatrening (gratis - kan lages og skrives ut hos oss) T-skjorter til sikkerhetsagentene og stressballer til ansatte med logo 6
2. Aktiviteter i sikkerhetsmåneden #1 Arbeidsmøter med seksjonsledere i grupper på 5-8 stk. Sikkerhetsagentene er med. Sikkerhetsagentene er ute i hver seksjon og snakker og hjelper til om de aktuelle temaene i hverdagen. Folkelige artikler på byrånettet (f.eks. 4-8 stk) med følgende temaer (titlene bør vurderes og gjøres fengende): «Sikkerhetsmåneden oktober» - hva er dette nasjonalt og i SSB? (mandag 3. okt.) «ID-kortet er ditt» - om å passe på sitt eget kort og å spørre om andres. (ca. 6. okt.) «Livslang forpliktelse» - om taushetsplikten. (ca. 11. okt.) «Har du oppdaget noe merkelig?» - om å si ifra gjennom avviksmeldinger hvis du ser noe som kan være et sikkerhetsbrudd. (ca. 14. okt) «Stopp - tenk klikk» - om mistenkelig epost med linker eller vedlegg. (ca. 19. okt.) «Velg sikre passord» - anbefalinger om passord. (ca. 24. okt.) «Lettlurt, lettlurt» om sosial manipulering. (ca. 28. okt.) Sikkerhet på nyansattkurs (8. sept) Dilemmatrening med foredrag og pizza én kveld i Oslo og én kveld i Kongsvinger. Vi lager dilemmaer rundt de samme temaene som artiklene over. Benytter NorSiS foredragsdugnad. 7
Aktivitetskalender 08.09: Sikkerhet for nyansatte. Dilemmatrening. 20.09: Alledermøtet. Informasjon om sikkerhetsmåneden + foredrag fra NSM: «Din digitale adferd viktig for deg og din arbeidsgiver» Uke 39: Møter/opplæring med sikkerhetsagentene (ett i Oslo og ett i Kvgr.) 03.-07.10: Møter med ledere (max 1 time) Okt: Sikkerhetsagentene i arbeid i hverdagen. 18.10: Workshop/dilemmatrening og foredrag med NSM: «Din digitale adferd viktig for deg og din arbeidsgiver». For ansatte i Kongsvinger (kl.14.30-17.00) 25.10: Workshop/dilemmatrening og foredrag med NSM: «Din digitale adferd viktig for deg og din arbeidsgiver». For ansatte i Oslo (kl.14.30-17.00) Artikler på intranettet etter ovennevnte plan. 8
3. Opplæringspakker i sikkerhetsmåneden Vi har erfaringer med Junglemap flere år tidligere Folk er forskjellige behov for mer målrettet opplæring Vi har valgt bort dette i år. Vi benytter dilemmatrening Vi benytter NorSIS foredragsdugnad 9
4. Ressurser til bruk i planleggingen av sikkerhetsmåneden Difis veileder i kultur- og kompetanseutvikling https://www.difi.no/fagomrader-ogtjenester/informasjonssikkerhet/veiledere/kompetanseog-kulturutvikling Difis ressursbank https://www.difi.no/artikkel/2015/06/eksempler-maler-oginspirasjon 10