Sikkerhet og informasjonssystemer IFEA 19.10.2011 Datasikkerhet i industri og offentlig infrastruktur. Helge Rager Furuseth seniorrådgiver, siv.ing. Avdeling for sikkerhetsforvaltning Nasjonal sikkerhetsmyndighet (NSM)
Innhold Nasjonal sikkerhetsmyndighet (NSM) Sikkerhetstilstanden Samfunnets sårbarhet Styringssystem for sikkerhet/sikkerhetsadministrasjon Sikring av et informasjonssystem/sikkerhetskonsept Praktiske utfordringer med dagens teknologi Helhetsforståelse
NSM Et direktorat for forebyggende sikkerhet Etablert 1. januar 2003 Historikk fra 1953 Ca. 140 ansatte 12% militære 25% kvinner En kompetansevirksomhet Kolsås og Akershus festning FD er styrende departement. JD er overordnet departement i sivile sektorer NSM er en sektorovergripende myndighet NSM har oppgaver etter sikkerhetsloven, men har også oppgaver utover sikkerhetsloven JD SIV KOORD Etatsstyring MIL FD Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 3
Virksomhetsidé Nasjonal sikkerhetsmyndighet (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal innen sitt ansvarsområde beskytte informasjon og objekter mot spionasje, sabotasje og terrorhandlinger gjennom å: føre tilsyn og utøve myndighet iht. regelverk varsle og håndtere alvorlige dataangrep utvikle sikkerhetstiltak gi råd og veiledning NSM skal være en pådriver for bedring av sikkerhetstilstanden og gi råd om utviklingen av sikkerhetsarbeidet i samfunnet.
NSMs oppgaver etter sikkerhetsloven Er fagmyndighet og fører tilsyn Gir råd og veiledning Godkjenner IKT systemer Industrisikkerhet Er nasjonal krypto-myndighet Utvikler sikkerhetstiltak Er klareringsmyndighet og klageorgan Varsler om trusler og sårbarheter mot vår nasjonale sikkerhet Ha oversikt over og utarbeide rapport om sikkerhetstilstanden Er internasjonalt kontaktpunkt Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 5
Andre oppgaver (utenfor sikkerhetsloven) Gitt gjennom spesiallover, Stortingsmeldinger og i styringsdokumenter fra JD/FD: Sertifiserer IKT-systemer og produkter (SERTIT, Common criteria) Sekretariatet for koordineringsutvalget for forebyggende informasjonssikkerhet (KIS) Gir innspill til det nasjonale beredskapssystemet (NBS BFF/SBS) Utøver den nasjonale CERT funksjonen (NorCERT) Utarbeider IKT risikobildet i samarbeid med de andre EOS tjenestene Lov om forsvarhemmeligheter og forsvarsviktige oppfinnelser Andre lovpålagte oppgaver Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 6
Oversikt over sikkerhetstilstanden NSM skal ha kunnskap og oversikt for å bedre sikkerhetstilstanden. NSM innhenter informasjon om sikkerhetstilstanden gjennom: tilsyn hendelsesrapportering NorCERT tekniske sikkerhetsundersøkelser inntregningstester emisjonssikkerhetstester monitoring øvelser informasjon fra samarbeidende tjenester Årlig rapport om sikkerhetstilstanden. NSM sender ut sikkerhetsvarsel ved behov.
Rapport om sikkerhetstilstanden 2010 Økende sikkerhetsmessig risiko. Verdier øker i volum og betydning. Truslene er i sterk økning. Sårbarheter knyttet til IKT-systemer og -prosesser øker. Tiltak for å redusere sårbarheter utvikles ikke i samme takt som truslene og er i utgangspunktet utilstrekkelige.
Mangler i forbyggende sikkerhetsarbeid Mer eller mindre store mangler som påvirker sikkerhetstilstanden i virksomhetene spesielt, og dermed samfunnet generelt: verdiforståelse og bevissthet rundt hva som er skjermingsverdig oversikt over egen sikkerhetstilstand ledelsesengasjement styringssystem for sikkerhet kompetanse sikkerhetskultur rutiner ved sikkerhetsklarering autorisasjon av personell plan ved og beskyttelse mot sikkerhetstruende hendelser dokumentsikkerhet fasiliteter for sikkerhetsgraderte samtaler IKT-sikkerhet leverandørkjeden (for IKT-komponenter)
Mangler i ikt-sikkerhetsarbeidet Manglende sikkerhetsoppgradering (patching). Mangelfull passordadministrasjon. Testing av ny programvare eller applikasjon uten å fjerne testapplikasjonen og pålogging til den etterpå. Mangelfull fjerning av gamle versjoner ved oppdateringer. Manglende oppmerksomhet på tidsbegrensinger i anti-virusprogramvare. Manglende begrensninger i brukernes muligheter til å laste ned tredjeparts programvare.
Trusselaktører og deres metoder Trusselaktører: fremmede stater organiserte kriminelle hactivister terrorister Metoder og virkemidler: bruk av Internett lav kompleksitet på oppdaget skadevare så langt trolig mer avansert skadevare som ikke er oppdaget avlytting og avlesning sosial manipulering innsidere
Trusselbildet i følge PST Etterretningsaktiviteten mot Norge og norske interesserer HØY. Flere statlige etterretningstjenester støtter eget næringsliv. Mål for uønsket etterretningsvirksomhet er: Myndighetene. Høyteknologibedrifter. energi forsvar Forskning (FoU). Eksilmiljøer. Mest utsatt er bedrifter som produserer verdensledende teknologi, særlig energirelatert teknologi og teknologi som kan tenkes å ha en militær anvendelse.
RSA-saken
Kritisk informasjon i et nettverksbasert informasjonssamfunn 14
Behov for beskyttelse Nasjonal sikkerhet forutsetter nødvendig grunnsikring i samfunnet NSM Rikets sikkerhet Kritiske samfunnsfunksjoner Sentrale bedrifter SMB Samfunnet generelt Volum Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 15
Styringssystem for sikkerhet = sikkerhetsadministrasjon sikkerhetsledelse sikkerhetsorganisering sikkerhetstiltak og -prosedyrer andre virksomheter oppfølging av sikkerhetsarbeidet sikkerhetsdokumentasjon risiko Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Styringssystem ledelse planlegge/forbedre organisering kontrollere prosedyrer og tiltak utføre Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Styringssystem en erkjennelse ledelse organisering prosedyrer og tiltak Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Styringssystem en erkjennelse virksomhetens styringssystem må dekke flere styringsbehov ledelse sikkerhet organisering prosedyrer og tiltak Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Styringssystem en erkjennelse virksomhetens styringssystem må dekke flere styringsbehov ledelse sikkerhet organisering lovpålagt sikkerhet prosedyrer og tiltak Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Styringssystem en erkjennelse Virksomhetens styringssystem må dekke flere styringsbehov der sikkerhetsloven kun representerer en (marginal) del Virksomheten må integrere den forebyggende sikkerhetstjenesten i styringssystemet for øvrig ledelse organisering sikkerhet lovpålagt sikkerhet sikkerhetsloven prosedyrer og tiltak Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier
Sikring av et informasjonssystem infosystem 22
Sikkerhetskonsept Faktorer som er avgjørende for informasjonssystemsikkerheten: Systemets hensikt og bruksområde Verdivurdering av informasjonen Geografisk og fysisk plassering Datakommunikasjon og kryptering Sammenkobling med andre systemer Brukernes autorisasjon og klarering Evaluering og sertifisering Tempestrisiko Operasjonsmåte Sikkerhetskonsept Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 23
Praktiske utfordringer med dagens teknologi Trådløs teknologi Tastatur, mus, printer, skanner, etc.. (ikke for gradert info). Smarttelefon Ikke for graderte informasjon. Blåtann, Virus/trojanere skaper sårbarheter. Minnepinner Stor kapasitet og lett å miste (bør krypteres). Nettbrett og bærbare maskiner Kun et spørsmål om tid før de er tapt. Bør krypteres. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 24
Helhetsforståelse Tradisjonelle systemgrenser utvides. Fra et statisk perimeter til også den enkelte mobile enhet. Bruksmønstre endres. Fra 09-16 på kontoret til når som helst, hvor som helst. Bruk av nettskytjenester og sosiale medier. Ny teknologi kan skape muligheter man bør gripe. Men også utfordringer man ikke må lukke øynene for. Sikkerheten i virksomheters informasjonssystemer og beskyttelsen av virksomheters verdier avhenger i stadig større grad av sikkerheten på den enkelte laptop, nettbrett eller mobiltelefon. Krever helhetlig sikring. Teknologi Policy Holdninger. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 25
Brukeren Den enkeltes ansvar for å beskytte bedriftens verdier. Sunn fornuft og dømmekraft Hvor som helst? Når som helst? Hva som helst? Er det en menneskerett å ha 24/7-tilgang til alle Internetts gleder og nytelser direkte fra arbeidsgivers datautstyr? eller å bruke sitt eget nettbrett eller smarttelefon til å behandle bedriftens informasjon? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 26
Oppsummering Målet er å beskytte informasjonen og objektet. Informasjonssystemsikkerhet er et felles ansvar. Ett tiltak alene har liten verdi, - helhetlig tilnærming til sikkerhet må til! Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 27
Takk for oppmerksomheten! Nasjonal sikkerhetsmyndighet +47 67 86 40 00 helge.furuseth@nsm.stat.no www.nsm.stat.no Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 28