Cyberspace og implikasjoner for sikkerhet

Like dokumenter
Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Modelldrevet risikoanalyse med CORAS

Risikovurdering av cybersystemer

Når bør cyberrisiko forsikres?

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Cyber-forsikring til hvilken pris?

Følger sikkerhet med i digitaliseringen?

PERSONVERN FRA ET CYBERPERSPEKTIV

Hacking av MU - hva kan Normen bidra med?

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Cyber Risk Mapping Kartlegging av cyberrisiko

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Komposisjon av risikomodeller:

Cyberforsikring for alle penga?

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

Standarder for Asset management ISO 55000/55001/55002

Kan cyber-risiko forsikres?

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius?

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Standarder for risikostyring av informasjonssikkerhet

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Oppdatert NORSOK N-005

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

ISO-standarderfor informasjonssikkerhet

Om kartlegging av digital sikkerhetskultur

DESDIFORs virkeområde

Trafikklys i PO3. Konsekvenser av et rødt lys. Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019

Revisors rolle - Utfordringer og begrensninger. 5. Desember 2016, Aase Aamdal Lundgaard

INFORMASJONSSIKKERHET

Informasjonssikkerhet En tilnærming

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Vekst og digitalisering

Nøkkelinformasjon. Etatsstyring

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

Rutiner for samhandling mellom Mattilsynet og VKM vedlegg I sist revidert

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Hvis vi erstatter mennesket med automasjon, vil vi da redusere antall ulykker innen maritim shipping?

Hvordan lage og bruke policyer i tillitshåndtering

Digitalt lederskap i global konkurranse. - mulig for norsk

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal

SIKKERHET SOM INVESTERING HVORDAN KONTROLLER SIKKERHETSKOSTNADENE?

ISO 9001:2015 Endringer i ledelsesstandarder

Kontinuitet for IKT systemer

STUDIEPLAN VIDEREUTDANNING FOR NORDIC COMPUTER FORENSICS INVESTIGATORS

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang

SSL DEKRYPTERING PERSONVERN VS SIKKERHET? STURLA GRELLAND

Hva er et styringssystem?

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

STUDIEPLAN VIDEREUTDANNING FOR NORDIC COMPUTER FORENSIC INVESTIGATORS COMPUTER ENGINEERS

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

New supply chain ICT architecture with RFID

Ny personvernlovgivning er på vei

Når EPJ består av flere systemer - påvirker det utøvelsen av sykepleie? Bente Christensen prosjektleder pasientforløp

Forskning på cybersikkerhet ved UiO. Audun Jøsang Universitetet i Oslo

Hvordan predikere sikkerhet mht. endring

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

IKT-sikkerhet for arkivarer. Kristine Synnøve Brorson

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Risikofokus - også på de områdene du er ekspert

Ny personvernlovgivning er på vei

Erfaringer fra utrustit

Bruk av skadedata i det internasjonale og nasjonale myndighetsarbeidet. Alice Gaustad hos Finans Norge 12. oktober 2017

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Innføring av Management System gjennom forordning 965/2012 (EASA OPS)

Har du kontroll på verdiene dine

Trusler og mottiltak Mike Andersen Dell SecureWorks

Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar v Livar Haga

Digital Grid: Powering the future of utilities

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Hva bør gjøres for å forebygge og håndtere digital mobbing av barn og ungdom hva sier forskning?

GDPR krav til innhenting av samtykke

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

«SKJØNNER VANNBRANSJEN FORTSATT IKKE AT DEN IKKE FORSTÅR SEG PÅ INFORMASJONSSIKKERHET?» Jon Røstum, sjefstrateg Powel

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Fintech regulering. Liv Freihow IKT-Norge. Historien om det kompliserte ekteskapet mellom gründere og Finanstilsynet

Erfaringer med klyngedannelse «Fra olje og gass til havbruk»

Blockchain 2/22/2019. Hva er Blockchain for Business. IBMs platform & løsninger. Hvordan komme igang? Hva er det og hvordan komme igang?

Risikovurdering for folk og ledere Normkonferansen 2018


Hvordan komme i kontakt med de store

Muliggjørende teknologier "Teknologibad" Manufacturing

Cyberforsikring Når lønner det seg?

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?

Social Media Insight

Rapporterer norske selskaper integrert?

Hvordan teste en risikomodell

Universitet på dypt vann?

Emnedesign for læring: Et systemperspektiv

Transkript:

Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1

Oversikt Bakgrunn Hva er cyberspace, og hva snakker vi om når vi snakker om cyber-sikkerhet og cyber-risiko? Begreper Hva er risiko? Hva er cyberspace? Hva er cyber-sikkerhet? Hva er cyber-risiko? Hvordan relaterer cyber-sikkerhet til andre typer sikkerhet? Ondsinnet eller ikke? Risikovurdering mht. cyber-sikkerhet 2

Cyberspace er overalt "Alle" bruker det Myndigheter Bedrifter Privatpersoner Det brukes til "alt" Offentlige tjenester Økonomi Underholdning Sosialt Handel 3

Cyber-risiko er overalt 4

Men hva snakker vi egentlig om? Eksisterende standarder og retningslinjer er ikke alltid enige eller entydige ISO 27000-serien [Informasjonssikkerhet og -risiko i IKT-systemer] ISO 27032 om cyber-sikkerhet [Strikt begrenset til virtuelle aspekter og aktiva] ITU-T X.1205 om cyber-sikkerhet [Beskyttelse av konfidensialitet, integritet og tilgjengelighet i relasjon til sammenknyttede nettverk] NIST Cybersecurity Framework [Fokus på beskyttelse av kritiske infrastrukturer] Cybersecurity Strategy of the EU: An Open, Safe and Secure Cyberspace [Tilgjengelighet og integritet av nettverk og infrastruktur, samt konfidensialitet av informasjonen de inneholder] 5

La oss ta det fra begynnelsen De første datamaskinene var stasjonære, og organisasjoner hadde gjerne én på deling mellom sine ansatte og som den enkelte måtte oppsøke System 6

La oss ta det fra begynnelsen Siden fikk man flere maskiner som ble knyttet sammen, f.eks. LAN Typisk innenfor et begrenset område, som f.eks. et kontorbygg System 7

La oss ta det fra begynnelsen Utviklingen videre ledet til større nettverk over geografiske avstander, f.eks. WAN System Kommunikasjonsnettverk 8

La oss ta det fra begynnelsen Dette har videre ledet til nettverk av sammenknyttede nettverk opp til global skala, f.eks. Internett 9

Hva er perspektivet fra en gitt organisasjon? System 10

Nå trenger vi begreper! 11

Hva er risiko? A risk is the likelihood of an incident and its consequence for an asset A threat is an action or event that is caused by a threat source and that may lead to an incident A threat source is the potential cause of an incident 12

Hva er cyberspace? A cyberspace is a collection of interconnected computerized networks, including services, computer systems, embedded processors and controllers, as well as information in storage or transit For eksempel Internett, som er et globalt cyberspace i det offentlige rom A system is a set of related entities that forms an integrated whole and has a boundary to its surroundings A cyber-system is a system that makes use of a cyberspace 13

Hva er cyber-sikkerhet og cyber-risiko? Cybersecurity is the protection of cyber-systems against cyber-threats A cyber-threat is a threat that exploits a cyberspace A cyber-risk is a risk that is caused by a cyber-threat 14

Hvordan relaterer cyber-sikkerhet til informasjonssikkerhet og sikkerhet av kritiske infrastrukturer? Cybersecurity 15

Hvordan relaterer cyber-sikkerhet til safety? Cybersecurity Safety 16

Hvordan relaterer cyber-sikkerhet andre områder? Liv og helse Informasjon Kritisk (informasjons-) infrastruktur Compliance Miljø Omdømme Forsvar Finans 17

Hvordan relaterer cyber-sikkerhet andre områder? Liv og helse Informasjon Kritisk (informasjons-) infrastruktur Compliance Miljø Omdømme Forsvar Finans 18

Ondsinnet eller ikke? Det er mange måter å kategorisere ulike typer cyber-risiko på Vi er interessert i kategorier som har betydning for metoden, altså hvordan vi best og mest effektivt kan gjøre risikostyring mht. cyber-sikkerhet 19

Step 1: Context establishment for cyber-risk Prosess Step 2: Identification of cyber-risk a) Malicious cyber-risk b) Non-malicious cyber-risk Step 3: Analysis of cyber-risk Step 4: Evaluation of cyber-risk Step 5: Treatment of cyber-risk 20

Konklusjon For å gjøre risikostyring mht. cyber-sikkerhet må vi være tydelige på hva vi snakker om Cyber-risiko er risiko som forårsakes av trusler som oppstår i og/eller utnytter cyberspace Systemer er sårbare fordi de bruker og interagerer med cyberspace De generelle og overordnede prinsippene og prosessene for risikostyring mht. cyber-sikkerhet er standard Imidlertid finnes det en rekke nyttige teknikker som lar seg anvende på cyber-risiko spesielt 21

Nyttig lesning A. Refsdal, B. Solhaug, K. Stølen: Cyber-Risk Management (Springer, 2015) A. S. Tanenbaum, D. J. Wetherall: Computer Networks, 5th edn. (Prentice Hall, 2011) http://cse.hcmut.edu.vn/~minhnguyen/net/computer%20networks%20-%20a%20tanenbaum%20-%205th%20edition.pdf 22

Takk for oppmerksomheten! Bjørnar Solhaug bjs@forskningsradet.no 23

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding