Møte i nettverk for informasjonssikkerhet - NIFS 15. februar 2017 Informasjonssikkerhet og universell utforming av IKT. Motstridende hensyn eller gode hjelpere?
Agenda: 10:00 Velkommen og nytt fra Difi 10:15 UU og infosikkerhet Difi v/tilsynet for universell utforming Siv Bianca Kjosås og Geir Sindre Fossøy 11:15 UU og infosikkerhet fra Blindeforbundet Stian M. Innerdal 12:15 Lunsj 13:00 UU og infosikkerhet Difi v/kompetansemiljøet for infosikkerhet Jon Berge Holden Oppgave om muligheter og hindringer mht. UU og infosikkerhet? 14:00 Skytjenester og ny personvernordning Datatilsynet Martha Eike 15:00 Avslutning
Nytt fra Difi Veiledning anskaffelse av skytjenester Informasjonssikkerhet i prosjektveiviseren Sikkerhetsmåneden 2017
UU og infosikkerhet Tilsynet presentasjon Blindeforbundet
Informasjonssikkerhet og universell utforming Kompetansemiljøet for informasjonssikkerhet, Difi Jon B. Holden
Lovkrav til UU Tilgjengelig for alle / «flest mulig» Diskriminerings- og tilgjengelighetsloven 13 «Offentlige og private virksomheter rettet mot allmennheten har plikt til å sikre universell utforming av virksomhetens alminnelige funksjon så langt det ikke medfører en uforholdsmessig byrde for virksomheten. Ved vurderingen av om utformingen eller tilretteleggingen medfører en uforholdsmessig byrde skal det særlig legges vekt på tilretteleggingens effekt for å nedbygge funksjonshemmende barrierer, hvorvidt virksomhetens alminnelige funksjon er av offentlig art, de nødvendige kostnadene ved tilretteleggingen, virksomhetens ressurser, sikkerhetsmessige hensyn og vernehensyn»
Lovkrav til informasjonssikkerhet Sikre integritet, konfidensialitet og tilgjengelighet Tilfredsstillende informasjonssikkerhet, pol 13 Skal ha internkontroll, omfang og innretning tilpasset risiko, efvf 15 Sentralt: tiltak skal velges hvis alternativet gir uakseptabel risiko Risikovurdering Effekten av tiltaket Sidevirkninger Redusert tilgjengelighet er uønsket sidevirkning
Sikringstiltak som kan utfordre UU - 1 Autentisering bevis hvem du er Noe du har Kodebrikke lesbar? Noe du vet (husker) Kognitive hindringer Noe du er (biometri) Fingeravtrykk vs. skadet hånd Iris vs. øyeskade Navnetrekk vs. analfabet
Sikringstiltak som kan utfordre UU 2 Captcha bevis at du er menneske Completely Automated Public Turing test to tell Computers and Humans Apart Andre uttrykk: HIP Human Interaction Proof Norsk uttrykk: robotfelle Brukt som automatiseringssperre Typer Tolking av bilder, typisk kodebilder med støy (visuelle) Tolking av tale, (auditiv) Fritekstoppgaver (kognitiv)
Captcha som sikringstiltak Hva er trusselen? Hvor effektiv er captcha for å motstå trusselen? Hvilke sidevirkninger har dette sikkerhetstiltaket? Er alternativene bedre?
Et case skattelisten -2003: Pressen publiserte skattelister fritt 2004- Stortinget misfornøyd med pressens bruk av skattelister Vedtak om at listene kun skulle gjøres tilgjengelig på skatteetaten.no
1. fase beskyttet med Captcha 2004-2006: publisert med captcha, ingen utlevering til pressen Nedlastingsforsøk fra TV2 Nettavisen alle år Effekt av Captcha 2004: 250 000 Plan om OCR-tolkning, avvist pga bildestøy Endte med automatiserte søk (lista fra 2003) supplert med manuell tolkning av bildene Totalt: 500 arbeidstimer, mange i lavkostland (primært Litauen) Kilde: Metoderapport SKUP 2004 Inntektstopp 2005: 450 000 hos Nettavisen Basert på søk fra publikum 2006: ca 1 million hos Nettavisen
2. og 3. fase pressen fikk kopi 2007-2009 ingen captcha Pressen fikk kopi Bruk skulle være iht. personopplysningsloven, håndhevet av Datatilsynet Egne skattesøk hos 150 nettaviser Ot prp nr 61 for 2006-2007 pkt 2.5 2010 innloggingskrav, men anonyme søk Stortinget misfornøyd med publiseringen Pressen måtte inngå avtale for å få listene, avtalebrudd kunne innebære nektelse for neste år MinID-innloggingskrav - anonyme søk 500 søk/mnd Prop 116 LS for 2010-2011 pkt 2.5-2.7
4. fase logging og innsyn i søk 2011 ytterligere innskjerping Krav om identifiserte søk og innsynsrett i logg
Oppsummering - skattelisten Trusselen Ressurssterk aktør: Pressen Motivert: særlig 2004-2006 Sikringstiltak Effekt Captcha moderat effekt, manuell omgåelse var relativt rimelig Innloggingskrav effektivt hinder Svartelisting av ip-adresser med unormalt høy trafikk effektivt? Sidevirkninger Captcha vanskeliggjorde tilgang
Bruksområder for captcha Automatiseringsperre Kommentarfelt unngå reklame, sjikane etc Opprette e-postkontoer unngå spam Annet?
Bruksområder for captcha Automatiseringssperre Nedlastingssperrer Håndheve bruks-/formålsbegrensninger Kommentarfelt: Automatisk posting av innlegg med reklame E-postkontoer: Automatisk oppretting av konto. Senere bruk til reklame
Noen typer captcha Selvlagde, enkle (2 + to =?) Klassifisering (eks. katt/hund) Kodebilder, lydcaptcha Re-captcha Situasjonsstyrt, risikomotor
Angrep på captcha Fjerne støy, bokstavgjenkjenning Utfordring: segmentering
Oppsummering Vurder trusselen Vurder effekten Vurder alternativene
Oppgaver
Oppgave 1 Har du i virksomheten opplevd at sikkerhetskrav har gitt it-løsninger som begrenser tilgangen (utfordrer krav til universell utforming)? Gi eksempler.
Oppgave 2 Har du i virksomheten opplevd at krav til universell utforming har gitt bedre sikkerhet? Gi eksempler.
Oppgave 3 Har du som bruker av elektroniske tjenester opplevd at sikkerhetskrav har gitt it-løsninger som begrenser tilgangen (utfordrer krav til universell utforming)? Gi eksempler.
Oppgave 4 Har du som bruker av elektroniske tjenester opplevd at krav til universell utforming har gitt bedre sikkerhet? Gi eksempler.
Kaffepause
Datatilsynet - skytjenester
Avslutning: Planlagte møter 5. april øvelse 31. mai - sikkerhetsmåneden 13. september 29. november
Kontaktinformasjon infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no