Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1
Oversikt Bakgrunn Hva er cyberspace, og hva snakker vi om når vi snakker om cyber-sikkerhet og cyber-risiko? Begreper Hva er risiko? Hva er cyberspace? Hva er cyber-sikkerhet? Hva er cyber-risiko? Hvordan relaterer cyber-sikkerhet til andre typer sikkerhet? Ondsinnet eller ikke? Risikovurdering mht. cyber-sikkerhet 2
Cyberspace er overalt "Alle" bruker det Myndigheter Bedrifter Privatpersoner Det brukes til "alt" Offentlige tjenester Økonomi Underholdning Sosialt Handel 3
Cyber-risiko er overalt 4
Men hva snakker vi egentlig om? Eksisterende standarder og retningslinjer er ikke alltid enige eller entydige ISO 27000-serien [Informasjonssikkerhet og -risiko i IKT-systemer] ISO 27032 om cyber-sikkerhet [Strikt begrenset til virtuelle aspekter og aktiva] ITU-T X.1205 om cyber-sikkerhet [Beskyttelse av konfidensialitet, integritet og tilgjengelighet i relasjon til sammenknyttede nettverk] NIST Cybersecurity Framework [Fokus på beskyttelse av kritiske infrastrukturer] Cybersecurity Strategy of the EU: An Open, Safe and Secure Cyberspace [Tilgjengelighet og integritet av nettverk og infrastruktur, samt konfidensialitet av informasjonen de inneholder] 5
La oss ta det fra begynnelsen De første datamaskinene var stasjonære, og organisasjoner hadde gjerne én på deling mellom sine ansatte og som den enkelte måtte oppsøke System 6
La oss ta det fra begynnelsen Siden fikk man flere maskiner som ble knyttet sammen, f.eks. LAN Typisk innenfor et begrenset område, som f.eks. et kontorbygg System 7
La oss ta det fra begynnelsen Utviklingen videre ledet til større nettverk over geografiske avstander, f.eks. WAN System Kommunikasjonsnettverk 8
La oss ta det fra begynnelsen Dette har videre ledet til nettverk av sammenknyttede nettverk opp til global skala, f.eks. Internett 9
Hva er perspektivet fra en gitt organisasjon? System 10
Nå trenger vi begreper! 11
Hva er risiko? A risk is the likelihood of an incident and its consequence for an asset A threat is an action or event that is caused by a threat source and that may lead to an incident A threat source is the potential cause of an incident 12
Hva er cyberspace? A cyberspace is a collection of interconnected computerized networks, including services, computer systems, embedded processors and controllers, as well as information in storage or transit For eksempel Internett, som er et globalt cyberspace i det offentlige rom A system is a set of related entities that forms an integrated whole and has a boundary to its surroundings A cyber-system is a system that makes use of a cyberspace 13
Hva er cyber-sikkerhet og cyber-risiko? Cybersecurity is the protection of cyber-systems against cyber-threats A cyber-threat is a threat that exploits a cyberspace A cyber-risk is a risk that is caused by a cyber-threat 14
Hvordan relaterer cyber-sikkerhet til informasjonssikkerhet og sikkerhet av kritiske infrastrukturer? Cybersecurity 15
Hvordan relaterer cyber-sikkerhet til safety? Cybersecurity Safety 16
Hvordan relaterer cyber-sikkerhet andre områder? Liv og helse Informasjon Kritisk (informasjons-) infrastruktur Compliance Miljø Omdømme Forsvar Finans 17
Hvordan relaterer cyber-sikkerhet andre områder? Liv og helse Informasjon Kritisk (informasjons-) infrastruktur Compliance Miljø Omdømme Forsvar Finans 18
Ondsinnet eller ikke? Det er mange måter å kategorisere ulike typer cyber-risiko på Vi er interessert i kategorier som har betydning for metoden, altså hvordan vi best og mest effektivt kan gjøre risikostyring mht. cyber-sikkerhet 19
Step 1: Context establishment for cyber-risk Prosess Step 2: Identification of cyber-risk a) Malicious cyber-risk b) Non-malicious cyber-risk Step 3: Analysis of cyber-risk Step 4: Evaluation of cyber-risk Step 5: Treatment of cyber-risk 20
Konklusjon For å gjøre risikostyring mht. cyber-sikkerhet må vi være tydelige på hva vi snakker om Cyber-risiko er risiko som forårsakes av trusler som oppstår i og/eller utnytter cyberspace Systemer er sårbare fordi de bruker og interagerer med cyberspace De generelle og overordnede prinsippene og prosessene for risikostyring mht. cyber-sikkerhet er standard Imidlertid finnes det en rekke nyttige teknikker som lar seg anvende på cyber-risiko spesielt 21
Nyttig lesning A. Refsdal, B. Solhaug, K. Stølen: Cyber-Risk Management (Springer, 2015) A. S. Tanenbaum, D. J. Wetherall: Computer Networks, 5th edn. (Prentice Hall, 2011) http://cse.hcmut.edu.vn/~minhnguyen/net/computer%20networks%20-%20a%20tanenbaum%20-%205th%20edition.pdf 22
Takk for oppmerksomheten! Bjørnar Solhaug bjs@forskningsradet.no 23