CYBER-TRUSSELEN Finans Norge seminar om operasjonell risiko 5. September 2017 Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT
Nå utvides FinansCERT til å dekke hele norden Avtale om etablering av Nordic Financial CERT inngått 7.4.2017 Foreningen stiftet 26. juni 2017 Vi jobber hardt for å bli klar til å ta imot nye nordiske medlemmer nå i September Ansatte, medlemmer og avtaler overføres fra FinansCERT Norge til den nye foreningen i løpet av høsten
4 Hva gjøres i Nordic Financial CERT? Deling av informasjon og samarbeide om cybertrusler Både mellom medlemmer og med et nettverk av partnere (bl.a. nasjonalt CERT, politi/myndigheter og leverandører) Støtte og koordinering til håndtering av digitale angrep F.eks. phishing-angrep og nettbanktrojaner-angrep som går mot mer enn ett medlem Skal bidra til økt samhandling og felles forståelse mellom finansinstituasjoner, myndigheter, leverandører og partnere.
5 Cyber-trusler - eksempel
Et nærliggende eksempel Tirsdag 27. juni 2017 på ettermiddagen. En vanlig dag på jobben i FinansCERT Norge. Men så: Meldinger begynner å tikke inn fra verden rundt oss om at «noe» foregikk. Fra Danmark hører vi at Maersk Line er rammet av «noe»
Et nærliggende eksempel
28. Juni kl 9:06 EST
4. Juli 2017
Maersk - aftermath
Hva skjedde? Slik det ser ut nå: Det ble gjennomført som et sabotasje-angrep mot mål i Ukraina Falsk ransomware (NotPetya), som fungerte som en «wiper» Spredte seg automatisk internt i rammede virksomheter - kunne infisere tusenvis av PCer i løpet av minutter AP Møller Maersk var trolig ikke et direkte mål i angrepet Likevel ble de truffet, og angrepet fikk svært store konsekvenser for dem
Så hva er egentlig cyber-trusselen?
Trusler motivasjon og hensikt Sabotasje eller påvirkning Etterretning eller industrispionasje Tyveri eller utpresning Emosjonell eller ideologisk Motivasjon Finansiell? Politisk eller strategisk Hensikt FinansCERT hovedfokus: Finansielt motivert kriminalitet mot digitale tjenester DDoS (tjenestenekt) Løsepengevirus Svindel (f.eks. «CEO-fraud») Nettbankbedrageri Målrettede datainnbrudd Ideologisk påvirkning Strategisk sabotasje?
Mer om truslene vi jobber med Nettbankbedrageri («virus»/phishing) Tjenestenektangrep («DDoS») Målrettede angrep («APT»/datainnbrudd) Svindel via (hacket/falsk) e-post bl.a. direktørsvindel «CEO-Fraud» Løsepengevirus/kryptovirus
Nettbank login phishing From: Skatteetaten [mailto:skatteetaten@skatteetaten.com] Sent: 9. mars 2017 13:43 To: Kari Nordmann Subject: Du har en ny melding Kjære kunde, Du har mottatt en ny melding. Klikk her for å lese.
Tjenestenektangrep (DDoS) Overbelaster nettsider/nettverk Gjør nettjenester utilgjengelige Variant siden 2015: Utpresningsforsøk Ekte eller «falskt»
Svindel via (hacket/falsk) e-post
Målrettede angrep/datainnbrudd
Målrettede angrep/datainnbrudd
Målrettede angrep/datainnbrudd
Løsepengevirus
Digital avhengighet ikke bare «IT»
Avhengighet av digital infrastruktur og tjenester Lysne-utvalgets rapport dokumenterer at det norske samfunnet har blitt gjennomgående avhengig av digital infrastruktur og tjenester Overraskende sårbart? Alt som er koblet til internett er sårbart for angrep/misbruk Dersom noe henger på internett (IoT?), er det lett tilgjengelig for hele verden og truslene vil finne det
Eksempler på «andre» tjenester som er «cyber-sårbare» Virksomheten «internt»: Bygninger VVS (klima, varme, vann og avløp) Låser/dører/porter, solskjerming, heiser Strøm/nettverk/kommunikasjon Eksternt: Transport/logistikk Offentlig transport (ansatte) Annen transport (mat, andre ting virksomheten trenger) Helsevesenet Strøm, vann & avløp
Tilnærming for å håndtere cyber-truslene
Håndtere og forberede seg på cyber-trusler Trusselen er ikke statisk, trusselbildet endrer seg raskere enn før Økt behov for kapasitet og kompetanse til å følge med på trusselbildet Dersom man bare ser bakover i historien, risikerer man å bomme kraftig på cybertruslene Virksomhetene bør også fokusere på resiliens/robusthet Evne til å fungere ved bortfall av digital infrastruktur og tjenester Evne til å håndtere hendelser (inkludert krisehåndtering og kontinuitet) Grunnleggende informasjonssikkerhetstiltak er blitt enda viktigere
Spørsmål?
Takk for oppmerksomheten Morten Tandle Daglig leder, Nordic Financial CERT Mobil: 95025035 epost: morten.tandle@nfcert.org