Litt om operativ sikkerhet i skysammenheng

Like dokumenter
Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Velkommen til fagsamling

Midlertidighet i UH-sektoren på stedet hvil i 2018

10.1 Antall årsverk totalt i undervisnings- og forskerstillinger

Andel midlertidig tilsatte, hovedtall 2018

Andel midlertidig tilsatte, hovedtall 2017

Styringssystem. Gjennomførende dokumenter. Rolf Sture Normann

Statsbudsjettet og finansieringssystemet for universiteter og høyskoler 2017

Pengestrømmer. Orientering om pengestrømmene i høyere utdanning og forskning

Brukermedvirkning og Felles studentsystem (FS)

Tillegg til karakterrapport for 2008 fra UHRs analysegruppe 1 : Karakterfordeling på masterarbeider (21. september 2009)

Studiebarometeret 2017: Overordnet tilfredshet

Forskerforbundet: Lønnsstatistikk for statlig sektor Tall per

UHR MNT møte Ny institusjonsstruktur synergier og betydning for kvalitet og SAK

Studiebarometeret 2017: Tidsbruk på faglige aktiviteter og betalt arbeid

Universellforum 2018 Universell utforming i digitalt læringsmiljø / digital eksamen

Tabell.1 Antall studenter som vil bli rammet av skolepenger.

Forskerforbundet: Oversikt over styringsform ved statlige universiteter og høgskoler

Undersøkelse om kvalifisering, tid og lønn i UH-sektoren

Forskerforbundet: Lønnsstatistikk for statlig sektor

Flak: Alt i alt-tilfredshet: 1 1

Tabell V9.7 Avsetninger spesifisert etter formål kr Statlige institusjoner

Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

Studiebarometeret 2018: Tidsbruk på faglige aktiviteter og betalt arbeid

Oversikt over tabeller for 2013

Studiebarometeret 2018: Varslingssystemer for trakassering

Kunnskapsdepartementet. Strukturreformen. Statssekretær Bjørn Haugstad. Samskipnadsmøtet Kunnskapsdepartementet

Meld.St.16 Kultur for kvalitet i høyere utdanning - Oppfølgning av meldingen

Studiebarometeret 2018: Vurderingsformer

Studiebarometeret 2018: Overordnet tilfredshet

UTS Operativ Sikkerhet - felles løft

Professorer, førsteamanuenser, førstelektorer, universitets- og høgskolelektorer og andre1

Studiebarometeret 2017: Vurderingsformer

Samletabeller 2012 NIFU/Hgu,

Studiebarometeret 2018: Tilknytning til arbeidslivet

Sikkerhetssatsing frem mot startstreken

Forskerforbundet: Lønnsstatistikk for statlig sektor

Studiebarometeret 2018: Tilbakemelding og veiledning

Program Studieorientering

Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

UH-institusjonenes innspill og ønsker i strukturprosessen Sammenfatning av innspillene som er sendt inn til Kunnskapsdepartementet November 2014

Felles mal for vitnemål og vitnemålstillegg

Program Studieorientering Ulstein vidaregåande skule, Skoler: Ulsteinvik Vgs og Herøy Vgs Dato:

Studiebarometeret 2018: Undervisning

Studiebarometeret 2016: undervisning og veiledning

Norges deltakelse i Erasmus: Hva har vi oppnådd?

Alle norske akkrediterte universitet og høgskoler kan søke, og vi ber lærestedene videreformidle denne utlysningen til alle sine avdelinger.

Studiebarometeret 2018: Digitalisering

Delårsregnskap for 2. tertial 2017 Vi viser til departementets brev av 15. desember 2016 om årsregnskap for 2016 og delårsrapportering i 2017.

Studiebarometeret 2017: Internasjonalisering

Flak: Tidsbruk på faglige og ikke-faglige aktiviteter

Hva betyr nasjonal IKTstrategi. 20. okt 2016 Tord Tjeldnes IT direktør UiA

Status fellesanskaffelse sentralbordstøttesystem

Type mobilitet Antall

Vi viser til departementets brev av 15. desember 2016 om årsregnskap for 2016 og delårsrapportering i 2017.

Hendelseshåndtering - organisering, infrastruktur og rammeverk

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Direktørsamling november 2015

Søvik Rolf Petter Sent: 15. september :16 Postmottak. Ifølge liste

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Studiebarometeret 2018: Overgang til høyere utdanning

Ifølge liste. Samisk høgskole Universitetet i Nordland Universitetet i Tromsø Norges arktiske universitet 14/ Deres ref Vår ref Dato

Kunnskapsdepartementet om målbruksarbeidet i universitets- og høgskolesektoren

Forskerforbundet: Lønnsstatistikk for statlig sektor

Flak: Tidsbruk på faglige og ikke-faglige aktiviteter

52 før du søker 56 søknadsprosessen 58 udirs studiekatalog 66 rektorutdanning

Studieorientering 2017 Sygna og Høyanger

Forskerforbundet: Lønnsstatistikk for statlig sektor

IKT-strategi for UH-sektoren

Desembersamling 2017

Høyringsbrev forslag om endringar i opptaksforskrifta - Tillegg

Nasjonalt fagråd for musikk (NFM)

tilfredshet med muligheter til medvirkning ikke tilfreds noe tilfreds verken eller tilfreds svært tilfreds

UTKAST. Avtale om felles utvikling Khrono som nasjonal nettavis for universitets- og høgskolesektoren

Forskerforbundet: Lønnsstatistikk for medlemmer i statlig sektor. Tall per

Aktivitetsbudsjett 2019

Styrking av de praktiske og estetiske fagene i lærerutdanningene

Webinar. Vitnemålsportalen. Marte Holhjem, produkteier

Risikovurdering av Public 360

UiO : Universitetet i Oslo Universitetsdirektøren

Delårsregnskap for 1. tertial 2018

Uninett konferansen desember UNINETT- Program. Tjenester og samarbeid i en åpen arkitektur. Konferansen Universitetet i Stavanger

Universitetet i Stavanger. V-sak US 89/19 Politikk for informasjonssikkerhet og personvern. Styret ved Universitetet i Stavanger

Søkning om opptak til høyere utdanning Tall fra Samordna opptak (SO)

Søkning om opptak til høyere utdanning Tall fra Samordna opptak (SO)

Referat fra møte i økonomiutvalget. 14. desember 2015, kl

Oppfølging av prosjekter en enklere hverdag?

FSAT. Oversikt over gruppenes mandat m.m. Planleggingsgruppen. Ekspertgrupper

Konsortiemøte i Pensumlistesystemkonsortiet

Notat. Høringssvarene er samlet i egne vedlegg. Følgende oppsummering er gjort på de ulike spørsmålene:

Referansearkitektur sikkerhet

HÅNDTERING AV NETTANGREP I FINANS

Referat. Årsmøte i Samarbeidstiltaket FS 30. januar 2012

Arbeidsgruppe Lisenser. Førstelinjeforum

OTTA TT, = f. ^1^^^; ^000

Indikatorer til nytte og besvær

Forskerforbundet: Lønnsstatistikk for statlig sektor

Sem = Seminarrom, K = Kollokvierom Fravær Studieorienteringsdagen regnes som obligatorisk undervisning. Husk at det blir ført fravær i løpet av dagen.

Kort om Beredskapsrådet

Forskerforbundet: Lønnsstatistikk for statlig sektor

Transkript:

Litt om operativ sikkerhet i skysammenheng UNINETT fagdager, Olaf.Schjelderup@uninett.no 4. mai 2017

Operativ sikkerhet i skyen - Hva vet vi egentlig om det? Dessverre vet vi i realiteten nokså lite... 2

3

Skal vi bygge tro eller tillit? Man kan ikke kreve å få tillitt - tillit bygges i millimeter, kan rives i (kilo)meter Tillitsbygging er i slekt med merkevarebygging, og tar tid Tillit kan f.eks. bygges med Positiv egenerfaring med leverandøren/produktet over tid. Ditto andres erfaring. Leverandørens demonstrerte faglige innsikt, ressurser, praksis og evne til god drift Vi gis løpende teknisk innsikt i løsningen/produktet, dens bruk og forvaltning m.m. Tillitt er bra, like viktig er bevisstheten og dokumentasjon på hvordan tilliten har oppstått. Skal vi kunne mene noe om sikkerheten må vi vite, ikke tro. En sikkerhetssituasjon kan endre seg på subsekunder Too big to fail? Tvungen tillit? Har vi råd til at leverandøren feiler? Må staten trekke gullkortet? Gir dette risikoapetitt? 4

Hva handler skybølgen om? Bedre tjenester? Fler tjenester tidligere? Forfengelighet? Økonomi? Fokus lenger opp i verdikjeden? Økt konsentrasjon av informasjonsverdier? Økt driftskvalitet? Forholdet til vedlikehold av egen driftskompetanse? Øke bestillerkompetanse? Gir totaliteten i dette bedre sikkerhet? 5

Opprettelige skader Påvirkes positivt av backup, RPO, RTO, fornuftig retention, recovery-site, redundans, geodiversitet, teknologidiversitet, gode mekanismer for fail-over, beredskap, basisvern m.m. Kan jo ta litt tid og komme på lufta igjen da, men likevel. 6

Uopprettelige skader Evig tap av data Høytilgjengelighet starter med tallet 3 (både nett, lagring, kraft, lokasjon, teknologi...) Sensitive data på avveie er et også evig tap, selv om dataene fremdeles er tilgjengelige for formålet. En eller flere kopier på avveie rapporterer sjelden om sin eksistens, hvor dataene befinner seg, hvem som har kontroll over dem, hvilket omfang, hvor mange instanser, hva formålet er, hvor dataene... Tilbakekalling av data på avveie er umulig 7

Det vi må gjøre som en del av anskaffelsen: Klassifisering og vedlikeholdt oversikt over våre data og tjenester (ledelsessystem for informasjonssikkerhet) ROS, som vesentlig del av anskaffelsen (og i forbindelse med endringer): Både teknisk og vår tiltenkte bruk av anskaffelsen ROS i seg selv løser ikke alle sikkerhetsproblemer (noen later til å tro det). Man må lukke avvikene også! Compliance (ISO-dokumenter). ROS av skyløsninger er ofte ulik ROS av egne håndfaste systemer - mye papirarbeid Sjekke avhengigheter! (Lange og uoversiktiglige verdikjeder kan være en stor trussel) Hvem er underleverandører? Krav til sikkerhetsarkitektur! Stille krav til (og gjennomføre) kontroll av etterlevelse Stille krav til håndtering og rapportering av drift- og sikkerhetshendelser Grundige og omfattende anskaffelsesprosesser gjør leverandørene gode - og da lykkes vi som kunder gode også. 8

Monitorering og varsling er en forutsetning Både kunde og leverandør må kunne monitorere Trafikkdata/bruksdata IDS Logger Sjekke plausibilitet løpende Hvor data befinner seg m.m. Tydelig ansvarsdeling, men også kryssmonitorering IaaS, detaljering er viktig (liten tue kan velte stort lass). Hvilke tjenester er avhengig av hvilke komponenter Hvilke komponenter påvirker hvilke tjenester Pass på at ikke tidligere driftsuvaner bare gjenoppstår i ny drakt 9

Tirsdag 2 mai - en sikkerhetsmessig milepæl i UH-land Organisasjon Teamnavn Leder E-post Key ID 1 Arkitektur- og designhøgskolen i Oslo Frode Gether-Rønning irt@aho.no E642427A 2 Høgskolen i Molde IRT HiMolde Kjetil Kroknes irt@himolde.no 7A32F85C 3 Høgskolen i Oslo og Akershus CSIRT HiOA Per Steinar Iversen csirt@hioa.no 94B4BD37 4 Høgskolen i Sørøst-Norge USN-IRT Anne Moe usn-irt@usn.no C9747FB2 5 Høgskolen i Østfold Høgskolen i Østfold IRT Ted M. Sørlie irt@hiof.no DC240834 6 Høgskulen i Volda IRT Høgskulen i Volda Peder Sefland irt@hivolda.no E08B9C22 7 Høgskulen på Vestlandet CSIRT HVL Idar Flemmen csirt@hvl.no 4934D07C 8 Kunsthøgskolen i Oslo IRT KhiO Geir Hamre Moe irt@khio.no 0B4B779C 9 NMBU NMBU CSIRT Håvard Myhrer csirt@nmbu.no A861A940 10 Nord universitet IRT Nord Odd Asbjørn Halseth irt.nord@nord.no 9E0C9765 11 Norges Handelshøyskole NHH IRT Thor-Inge Næsset irt@nhh.no B90F76E1 12 Norges musikkhøgskole NMH IRT Robert Haugan hendelsesresponsteam@nmh.no EC26EC9C 13 NTNU NTNU SOC Christoffer Hallstensen soc@ntnu.no C95AF4BF 14 Sámi allaskuvla Irt SamiskHs Lemet Ivar Hætta irt@samiskhs.no FE3C8314 15 Universitetet i Bergen UiB IRT Øivind Hope irt@uib.no 7BFE18ED 16 Universitetet i Oslo UiO-CERT Martin Bore cert@uio.no 8F081CF9 17 UiT Norges arktiske universitet UiT CSIRT Bjørn Torsteinsen csirt@uit.no F06ECE8A 18 Universitetet i Agder CSIRT UiA Helge Høynes csirt@uia.no 92B93411 19 Universitetet i Stavanger UiS IRT Arild Morten Olsen irt@uis.no 376058F0 20 Handelshøyskolen BI BI CERT Thomas Bjørseth cert@bi.no 0BC9ADC1 21 Fagskolen Innlandet IRT Fagskolen innlandet Trond Endrestøl irt@fagskolen-innlandet.no DCABA96A 22 UNIS UNIS IRT Kjell Ivar Haugnes irt@unis.no F7BD8F43 23 Norges forskningsråd IRT forskningsrådet Gjermund Marqvardsen irt@rcn.no F325F54F 24 Høgskolen i innlandet INN IRT Bjørnulf Hafstad irt@inn.no B11954BD 25 Norges idrettshøgskole NH IRT Hans O. Krogsæter irt@nih.no Oppdatert 2017-05-04 10

Hva kan et IRT hjelpe til med Basis hendelseshåndtering Koordinering mellom involverte aktører Varsling Sårbarhetshåndtering Anomalideteksjon Penetrasjonstest og analyse 11

Still krav til skyleverandører, vi ønsker å gjøre både dem og oss selv gode! Grundig ROS, involvere fagkompetanse i bredde og dybde, i forkant og ved endringer Sjekk compliance - alle kan ikke sjekke alt Aktiv monitorering og sjekk av etterlevelse Definert kontaktpunkt (CERT/IRT) hos leverandøren (gjør responstest!) Dialog Åpningstider, tilgangsmuligheter (kreves serviceavtale el.l.?) Vær forberedt på at dette koster God etterlevelse av krav bygger tillit 12

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding