HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Like dokumenter
SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

NASJONAL SIKKERHETSMYNDIGHET

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Tjenesteutsetting Dine data i andres hender. Ernst Unsgaard Seniorrådgiver, Strategisk Cybersikkerhet ikins,stavanger

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

NorCERT IKT-risikobildet

NSM NorCERT og IKT risikobildet

GRUNNPRINSIPPER FOR IKT-SIKKERHET

Sikkerhet og informasjonssystemer

Internkontroll i praksis (styringssystem/isms)

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

NASJONAL SIKKERHETSMYNDIGHET

Tilsiktede uønskede handlinger

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Strategi for Informasjonssikkerhet

Ny sikkerhetslov og forskrifter

Spørreundersøkelse om informasjonssikkerhet

Informasjonssikkerhet i Norge digitalt Teknologiforum

Referansearkitektur sikkerhet

Informasjonssikkerhet ved bruk av private leverandører Tillegg til tildelingsbrev nr. 4

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Vår digitale hverdag Et risikobilde i endring

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Risikovurdering for folk og ledere Normkonferansen 2018

Hva kan vi gjøre med det da?

Har du kontroll på verdiene dine

RISIKO OG CYBERSIKKERHET

Nasjonal sikkerhetsmyndighet

Seminar om betalingssystemer og IKT i finanssektoren,

Slik stoppes de fleste dataangrepene

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

NASJONAL SIKKERHETSMYNDIGHET

Strategi for informasjonssikkerhet

Hva er sikkerhet for deg?

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Personvern - sjekkliste for databehandleravtale

Trusler, trender og tiltak 2009

Avvikshåndtering og egenkontroll

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Sikkerhetslov og kommuner

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

HelseCERT Situasjonsbilde 2018

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

Anbefalinger om åpenhet rundt IKT-hendelser

DET DIGITALE TRUSSEL- OG RISIKOBILDET

Databehandleravtaler. Tommy Tranvik Unit

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

en arena for krig og krim en arena for krig og krim?

Nøkkelinformasjon. Etatsstyring

LOGGING ØKT SIKKERHET I IKT-SYSTEMER

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Hva betyr «Just-in-time» privileger for driftspersonalet?

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

PERSONVERN FOR ENHVER PRIS?

HØRING NOU 2016:19 SAMHANDLING FOR SIKKERHET

FOR ET TRYGGERE NORGE NASJONALT KOMPETANSESENTER FOR SIKRING AV BYGG

Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019

Brudd på personopplysningssikkerheten

Håkon Olsen Overingeniør Lloyd s Register Consulting

Internkontroll og informasjonssikkerhet lover og standarder

Kan du legge personopplysninger i skyen?

NSMs GRUNNPRINSIPPER FOR IKT-SIKKERHET VERSJON 1.0

Planlegging av øvelser

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

SIKKERHET OG TILLIT Sentralt for å lykkes med digitalisering

DET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD. Jon Røstum, sjefstrateg Powel

Informasjonssikkerhetsstrategi for forsvarssektoren SIKKERHETSGRADERING: IKRAFTTREDELSE: 25. februar 2017 Organisasjons- og instruksjonsmyndigheten

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Et sikkert digitalt Norge IKT-risikobilde 2018

1. Generelt om tilsynene

Nytt fra Helse- og omsorgsdepartementet

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Transkript:

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.

ØKNING I ANTALL CYBERHENDELSER Antall hendelser øker Alvorlige angrep blir mer komplekse Totalt antall saker

TRUSSELAKTØRENE Kaosaktører Økonomisk krim Sabotasje Spionasje Krise / krig Politiske protester Rampestreker Kompetente, ressurssterke aktører Samfunnsverdi Nasjonal sikkerhet

TRENDER, METODER OG KONSEKVENSER 5

ANGRIPERE UTNYTTER I STØRRE GRAD LEVERANDØRER UTEN TILSTREKKELIG SIKKERHET

GOD SIKKERHET KREVER KOMPETANSE OG KAPASITET Tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester Virksomheten må sørge for at sikkerhetsnivået opprettholdes eller forbedres i forbindelse med tjenesteutsetting SLIDE 7

IKT-kompetanse er en begrenset ressurs i Norge, og enda færre har kompetanse knyttet til hvordan man beskytter IKTsystemer både mot utilsiktede og tilsiktede hendelser Dette betyr at det hersker konkurranse om knappe ressurser

STØRRE, MER KOMPETENTE MILJØER REDUSERER SÅRBARHETENE Det er for mange små IT-avdelinger Særlig i offentlig sektor

TJENESTEUTSETTING MEDFØRER ØKT SIKKERHETSRISIKO Tjenesteutsetting medfører økt sikkerhetsrisiko på grunn av redusert kontroll på stadig mer komplekse verdikjeder Virksomheter må aktivt etablere organisatoriske, prosessuelle, tekniske og juridiske sikringstiltak SLIDE 10

TJENESTEUTSETTING KREVER SIKKERHETSKOMPETANSE Ansvaret kan aldri settes bort Tjenesteutsetting krever gode risikovurderinger og høy bestillerkompetanse SLIDE 11

RISIKO MÅ VURDERES FØR INFORMASJON SETTES UT Virksomheten bør kartlegge hvilke verdier som eksponeres ved tjenesteutsetting, og vurdere dette opp mot behovet for konfidensialitet, integritet og tilgjengelighet Risikoprofil, geografisk plassering og nasjonal tilhørighet til tjenesteleverandør er en del av det totale risikobildet som må vurderes. SLIDE 12

NSMS GRUNNPRINSIPPER FOR IKT-SIKKERHET BESKRIVER EN MINIMUMSBASELINE SOM BØR IVARETAS FOR ALLE IKT-SYSTEMER https://www.nsm.stat.no/publikasjoner/rad -og-anbefalinger/grunnprinsipper-for-iktsikkerhet/ I tillegg gjelder sikringskrav beskrevet i relevante lovverk og sektorvise regelverk SLIDE 13

NSMS GRUNNPRINSIPPER FOR IKT-SIKKERHET SLIDE 14

1. IDENTIFISERE OG KARTLEGGE opparbeide og forvalte forståelse om virksomheten herunder leveranser, tjenester, systemer og brukere. «Å, lå de dataene der!» SLIDE 15

2. BESKYTTE ivareta en forsvarlig sikring av IKT-miljøet. «Forrige torsdag fikk jeg informasjon om at 16 bulgarere hadde tilgang til sensitiv informasjon» SLIDE 16

3. OPPRETTHOLDE OG OPPDAGE opprettholde den sikre tilstanden over tid og ved endringer, og oppdage sikkerhetstruende hendelser. Ofte er det bare timer fra en sikkerhetsoppdatering slippes fra en leverandør, til det første angrepet oppdages hos NSM NorCERT SLIDE 17

4. HÅNDTERE OG GJENOPPRETTE håndtere sikkerhetstruende hendelser effektivt. Hva gjør man hvis et dataangrep blir oppdaget klokka 18 på en fredag? Har man betalt for at underleverandører og støttepersonell kan trå til på kort varsel? SLIDE 18

OPPBYGNING AV HVERT GRUNNPRINSIPP 2.6 KONTROLLER BRUK AV ADMINISTRATIVE PRIVILEGIER Anbefalte tiltak: Mål: Kontrollere, korrigere, og spore tildeling, bruk og konfigurering av administrative rettigheter for å hindre misbruk av datamaskiner, nettverk og applikasjoner. Begrunnelse(Hvorfor?) Misbruk av administrative privilegier - Blant de vanligste metodene - Eks 1: Infisert epostvedlegg, nedlastbar fil med skadevare fra ondsinnet nettside, nettside med skadevare - Eks 2: Eskalering av privilegier (gjette eller knekke passord) SLIDE 19

MINIMUMSKRAV TIL LEVERANDØREN Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017 Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten Utvikling av sikkerheten i tråd med utvikling i teknologi og trusselbildet over tid En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder Tilgangsstyring som inkluderer kryptering, aktivitetslogging, fysisk og logisk sikkerhet Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører Rutiner for hendelseshåndtering, avviks- og sikkerhetsrapportering Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer At bruk av underleverandører og deres bruk av underleverandører skal godkjennes før iverksetting Hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon SLIDE 20

«Sikkerhet er for viktig til å overlates til sikkerhetsekspertene» SLIDE 21

RIKTIGE BESLUTNINGER KREVER SIKKERHETSKOMPETANSE - I ALLE LEDD Grunnleggende kompetanse! Hvorfor! Hva! SLIDE 22

I realiteten vil virksomheter møte kommersielt attraktive og til dels sterke dominerende tjenesteleverandører som i liten grad er villige til å gi tilstrekkelig transparens til å verifisere samsvar med regelverk og anbefalinger Der kravene ikke oppnås vil virksomheten ha en risiko og virksomheten må vurdere eventuelle kompenserende tiltak og hvorvidt tjenesten faktisk skal settes ut

LOVVERKET Når en virksomhet velger å sette ut leveranser er det viktig å kartlegge hvilke lover, krav og regler som gjelder for egen virksomhet både nasjonalt og internasjonalt SLIDE 24

25 NÅR DIGITALE SÅRBARHETER ER NASJONALE SÅRBARHETER

MODERNISERING MEDFØRER OFTE AT IKT-LØSNINGER FÅR ØKT NASJONAL BETYDNING OG ØKT BESKYTTELSESBEHOV NSM er bekymret for. datasikkerheten når virksomheter setter ut tjenestene at økt kritikalitet ikke blir risikovurdert og identifisert sikkerhetsvurderingene ved konsolidering av data manglende nasjonal kontroll på kritisk infrastruktur at kritisk infrastruktur tjenesteutsettes til risikoland SLIDE 26

Framtiden 27

NSM Spørsmål? SLIDE 28

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding