UH-sektorens utfordringer

Like dokumenter
UTS Operativ Sikkerhet - felles løft

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Nytt fra sekretariatet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Risikovurdering av Public 360

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Strategi for informasjonssikkerhet

Ny styringsmodell for informasjonssikkerhet og personvern

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Sikkerhetskultur og informasjonssikkerhet

Organisering av IKT i UH sektoren. IT-konferansen UIO

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Oppfølging av informasjonssikkerheten i UH-sektoren

HelseCERT Situasjonsbilde 2018

Totalleverandør av sikkerhet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Sikkerhetsforum 2018

Trusler, trender og tiltak 2009

Informasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

INTERNREVISJONENS REISE MOT 2020

Hva kan vi gjøre med det da?

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

Struktur og arkitektur

NASJONAL SIKKERHETSMYNDIGHET

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Nøkkelinformasjon. Etatsstyring

«State of the union»

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Leverandøren en god venn i sikkerhetsnøden?

UNINETT-konferansen 2017

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Kunnskapsdepartementets tjenesteorgan

Strukturendringer i universitets- og høgskolesektoren

Cybersikkerhet hva er det og hva er utfordringene? Karsten Friis

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

INFORMASJONSSIKKERHET

FS-Brukerforum v/myriam Jensvold Massaoud, CERES

STYRINGSDOKUMENTASJON FOR UH SIKKERHETSSATSNING

Risikovurdering for folk og ledere Normkonferansen 2018

Arbeidet i UHRs økonomiutvalg

Samla resultater for påstandene kandidatene har tatt stilling til.

Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

Finansieringsutvalget - oppstart. Statssekretær Bjørn Haugstad 22. Mai 2014

Videreutvikling av CRIStin

Opplæringsbehov etter helseforskningsloven

Velkommen v/tina Lingjærde

Velkommen til fagsamling

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Avito Bridging the gap

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

SUHS-2014 Med UNINETT i en digital fremtid. Petter Kongshaug, Adm. Dir.

HÅNDTERING AV NETTANGREP I FINANS

Planlegging av sikkerhetsmåneden i SSB. Tore Eig, sikkerhetsrådgiver

IKT-strategi for UH-sektoren

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

Et universitetsbibliotek for fremtiden

Sikkerhet og informasjonssystemer

Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler

SAK 14/18 VEDLEGG A SATSINGSFORSLAG 2020

Høring av NOU 2014:5 MOOC til Norge - Nye digitale læringsformer i høyere utdanning

Sikkerhetsforum i UH sektoren

IRT-konsepter. Hva handler hendelseshåndtering om? 2. mai 2017

Informasjonssikkerhet og digitalisering

Felles løsning for identitets- og tilgangsstyring. Tore Burheim IT-direktør Universitetet i Bergen Leder i styringsgruppen for BOTT-IAM

RBO-tildelinger og andre forskningsindikatorer K. Atakan

Prioriteringer for USIT i IT-direktør Lars Oftedal

Teknologi og digitalisering i transportsektoren

Forvaltning av løsning/ avtaler,

Innlegg på UHRs representantskapsmøte 13. mai

BIBSYS Brage et system for åpne arkiv

Hendelser skjer - hvordan håndterer vi dem?

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

RETNINGSLINJE for klassifisering av informasjon

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Kort om Beredskapsrådet

MENNESKET «HACKERENS BESTE VENN» Høgskolen i Oslo og Akershus 29. oktober Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet

Innledning Workshop NOKIOS Avdelingsdirektør Arne Lunde

NASJONAL SIKKERHETSMYNDIGHET

Felles studieadministrativt tjenestesenter FSAT. Strategi

Følger sikkerhet med i digitaliseringen?

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

IRT-konsepter. Hva handler hendelseshåndtering om? 14. januar 2019

Studieplan 2018/2019

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Avdelingsdirektør Espen Sjøvoll, Arkivverket DOKUMENTASJON OG ARKIVER I EN KOMMUNESAMMENSLÅING

Prioriteringer for USIT i 2017

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Håndtering, lagring og deling av forskningsdata ved NTNU

Prioriteringer for USIT i 2017

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Transkript:

UH-sektorens utfordringer Sikkerhetsforum 4.5.2017 Øivind Høiem, CISA CRISC ISO27001 Lead implementer UH-sektorens sekretariat for informasjonssikkerhet

Åpenhet Beskyttelse

Er vi enhetlige? Kultur og bakgrunn Holdninger og motivasjon Akademisk frihet

Eksterne trusselaktører Nasjonalstater Virksomheter «Vanlige» kriminelle Aktivister (hactivists) Sporadiske hackere

Statlig etterretningsvirksomhet Norge utsettes for fremmed etterretningsvirksomhet som kan ha et stort skadepotensial Aktiviteten rettes mot mål innenfor norsk forsvars- og beredskapssektor samt mot politiske beslutningsprosesser og kritisk infrastruktur Datanettverksoperasjoner vil være en integrert del av etterretningsoperasjonene mot mål i Norge Institusjoner som utvikler eller arbeider med teknologi som har både militær og sivil anvendelse vil være utsatte mål Det etterspørres kunnskap innen teknologiområder som kan benyttes til avansert våpenutvikling eller utvikling av masseødeleggelsesvåpen Det rekrutteres eller utplasseres studenter og forskere i norske utdannings- og forskningsinstitusjoner Kilde: PSTs åpne trusselvurdering 2017

11. mai 2017 SLIDE 8

Utpressingsvirus (Ransomware) Flere omfattende kampanjer Posten desember 2016 Telenor februar 2017 Mottiltak: IP-blokkering (UNINETT) Begrense mulighet til kjøring av visse filtyper (Javascript) Backup Opplæring og bevisstgjøring 11. mai 2017 SLIDE 9

11. mai 2017 SLIDE 10

Direktørsvindel (CEO-fraud) Direktørsvindel utføres ved hjelp av e- post eller SMS fra personer som utgir seg for å være i ledelsen i bedriften Målet er å lure en økonomimedarbeider til å betale overføre penger til en konto i utlandet Svindleren spiller på at ofrene er travle og at overføringen må skje raskt Mindre omfang enn høsten 2016, men det ingen grunn til å slappe av... 11. mai 2017 SLIDE 11

Breaking news februar 2017 Sårbarhet i Cisco-rutere Trusselaktører kan endre konfigurasjonen og overta kontrollen over rutere Ble oppdaget av UNINETTs Surikata-løsning før Cisco kom med sitt varsel En håndfull institusjoner hadde fått sin Cisco-konfigurasjon lastet ned 11. mai 2017 SLIDE 12

Eksempel på interne trusler og sårbarheter Svak ledelsesforankring Uklare ansvarsforhold Ressurs- og kompetansemangel Manglende oversikt over informasjonsverdier Uhensiktsmessig arkitektur og systemimplementasjon Manglende robusthet i løsningene Mangelfulle driftsrutiner Manglende dokumentasjon Mangelfull brukeropplæring Manglende verifikasjon av sikkerhetskopi For svak oppfølging av kjente sårbarheter Manglende overvåking av systemer Manglende reetableringsevne Manglende kriseplaner og øvelser Utro tjenere Manglende kvalitetskontroll 11. mai 2017 SLIDE 13

CYBER THREAT ASSESSMENT 2016 EDUCATION AND RESEARCH SECTORS # Threat description 1 Obtaining and publicizing data 2 Identity fraud 3 Disruption of ICT 4 Manipulation of digitally stored data 5 Espionage 6 Taking over and abusing ICT 7 Deliberately inflicting reputational damage

Innsamling og publisering av informasjon Forskningsdata er stjålet Personsensitive opplysninger på avveie Forsøk på å skaffe seg informasjon om eksamensoppgaver Kilde: SURF Cyber Threat Assessment 2016 11. mai 2017 SLIDE 15

Identitetssvindel Studenter lar noen andre ta eksamen Studenter forsøker å endre studieresultater Aktivister utgir seg for å være forskere Kilde: SURF Cyber Threat Assessment 2016 11. mai 2017 SLIDE 16

Tjenesteavbrudd DDoS angrep Viktige forskningsdata blir ødelagt Tjenester er utilgjengelige på grunn av skadevare Kilde: SURF Cyber Threat Assessment 2016 11. mai 2017 SLIDE 17

Manipulering av digital informasjon Studieresultater blir forfalsket Manipulasjon av forskningsdata Endringer av administrative data Kilde: SURF Cyber Threat Assessment 2016 11. mai 2017 SLIDE 18

Spionasje Tyveri av forskningsresultater og intellektuell kapital Utenlandske studenter som handler på vegne av nasjonalstater Kilde: SURF Cyber Threat Assessment 2016 11. mai 2017 SLIDE 19

Hva skjer på ett minutt på internett? Qmee 2013 11. mai 2017 SLIDE 20

Den digitale utfordring I 2010 viste Eric Schmitt, tidligere CEO i Google denne statistikk: Every 2 days we create as much information as we did from the dawn of civilization up until 2003 Nå produserer vi samme informasjonsmengde i løpet av 10 minutter 11. mai 2017 SLIDE 21

Utfordringene Hvordan klassifisere informasjonen riktig? Hvor kan informasjonen lagres? Hvordan sortere ut og ta vare på viktig informasjon for ettertiden? 11. mai 2017 SLIDE 22

Tildelingsbrevet fra KD Kapittel om sikkerhet og beredskap: Ledelsessystem for informasjonssikkerhet Risikovurderinger og håndtering av risiko Hendelseshåndtering Beredskapsplaner og kriseøvelser 11. mai 2017 SLIDE 23

Digital hendelshåndtering Styrking av evne til digital hendelseshåndtering ved statlige universiteter og høyskoler program for hendelseshåndtering i regi av UNINETT CERT Kunnskapsdepartementet forutsetter at statlige universiteter og høyskoler har etablert et ansvar for hendelseshåndtering og håndtering av avvik i tråd med krav om ledelsessystem for informasjonssikkerhet Vi anmoder med dette om at de ansvarlige ved den enkelte institusjon deltar på UNINETTs arrangement. Dette er en forutsetning for å kunne kommunisere effektivt og sikkert om hendelser med UININETT CERT, og en viktig forutsetning for ivaretakelsen av informasjonssikkerheten i universitets- og høyskolesektoren. 11. mai 2017 SLIDE 24

Nanolæring UNINETT har anskaffet NanoLearning plattformlisens og tilhørende tjenester fra Junglemap Lisensen dekker ubegrenset antall ansatte og studenter i universitets- og høgskolesektoren Gir rettighet til utvikling og leveranse av egenutviklede kurs levert via e-post eller egen portal Junglemap standardkurs: Informasjonssikkerhet, Informasjonssikkerhet for ledere og EUs persondataforordning Bruk av NanoLearning til før- og etteranalyser, effektmålinger, kompetansekartlegging, brukerundersøkelser og produkt- og tjenesteevalueringer, kunnskapstester/quizer, ansattundersøkelser, kursevalueringer m.m

sikresiden.no Et initiativ fra virksomheter i UH-sektoren NTNU, UiO, UiB, UiT, HiOA, NIH og HSN i samarbeid med UNINETT og andre virksomheter i sektoren Vi utvikler i første omgang en enkel prototype som inneholder kort felles informasjon om sikkerhet (brann, vold, trusler, informasjonssikkerhet, personvern mv.) På den sikre siden er utviklet for å kommunisere sikkerhet på en tydelig måte Tilgjengelig for studenter og ansatte ved norske universiteter og høgskoler fra 1.oktober 2017

uninett.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding