Vår digitale sårbarhet teknologi og åpne spørsmål

Lysneutvalget 2014-2015 Vår digitale sårbarhet teknologi og åpne spørsmål Professor Olav Lysne Leder for Digitalt Sårbarhehtsutvalg Leder for Robuste Nett Senteret 1

2

3

Kritiske infrastrukturer og innsatsfaktorer Ekom Kraft Satellittbaserte tjenester Kompetanse. 5

MVNOs on Netcom (e.g. Chess) MVNOs on Telenor (e.g. Ventelo) MVNOs (Mobile Virtual Network Operators) Fixed and Wireless Access Ice.no Netcom Tele2 Telenor Mobile/ Broadband NextGenTel Canal Digital Al box Broadnet Telenor (incumbent) Various regional providers Transport

TELECOM KRAFT MVNOs on Netcom (e.g. Chess) MVNOs on Telenor (e.g. Ventelo) MVNOs (Mobile Virtual Network Operators) Fixed and Wireless Access Ice.no Netcom Tele2 Telenor Mobile/ Broadband NextGenTel Canal Digital Al box Broadnet Telenor (incumbent) Various regional providers Transport

Ting vi lurer på Blir beslutninger om endringer i denne strukturen tatt på riktig måte? Er strukturen god slik den er nå? Er myndighetskontrollen med dette satt opp slik den burde?

Behov for kandidater Behovet er stort Vekstplaner og behov i NSM, NKOM, FFI, PST, Difi, Kripos CERT-miljøer er under utbygging i sektorene FinansCERT, KraftCERT, HelseCERT, TeleCERT Stort udekket kompetansebehov på regionale nivåer Stor etterspørsel i privat sektor Behov for sikkerhetsklarerbart personnell Det er en stor underproduksjon av ekspertise på dette området. Hvor skal disse menneskene komme fra, og hvem skal utdanne dem? Er UoH sektoren på ballen her?

Samfunnsfunksjoner Opprettholde finansiell stabilitet Opprettholde vannforsyning Opprettholde transportsystemer Opprettholde grunnleggende sikkerhet for lagret informasjon Ivareta nasjonal sikkerhet Ivareta styring og kriseledelse Opprettholde trygghet for liv og helse Opprettholde lov og orden Opprettholde grunnleggende personvern

Personvern er under sterkt teknologisk press o Lekkasje av intime bilder fra SnapChat o ID-tyveri o Passord-lekkasjer

Personvern Mulighetene for informasjonsinnsamling utvikler seg Metodene for Big Data-analyse utvikler seg Hva vil være mulig om 20 år? Hva vil være kompromitterende om 20 år? Er det mulig tillate, og deretter forby innsamling, lagring og sammenstilling av store datamengder? Burde vi legge oss på en linje som er robust ved et regimeskifte?

Chilling effect In a legal context, a chilling effect is the inhibition or discouragement of the legitimate exercise of natural and legal rights by the threat of legal sanction. The right that is most often described as being suppressed by a chilling effect is the US constitutional right to free speech. A chilling effect describes a situation in which rights, such as free speech, are threatened by the possible negative results of exercising these rights. The effect is to silence criticism and freedom of expression, even in cases where criticism is perfectly valid.

Kriminalitetsbekjempelse Forebygging Deteksjon Håndtering Etterforskning VDI samarbeidet CERTene Fungerer informasjonsdelingen optimalt? Får vi inn de anmeldelsene vi bør ha? Blir anmeldelsene tilfredsstillende håndtert? Om svarene er nei, hva bør vi gjøre?

Ressursgruppe Statnettt Telenor DNB Statoil Kongsberg NSM PST E-tjenesten Kripos Beskrive dagens evne til å avdekke håndtere og etterforske digitale angrep. Gap analyse med hensyn på Effektivitet Kapasitet Informasjonsinnhenting og deling Analysekapabilitet Samarbeid (offentlig-privat, og militært-sivilit) Evne til å yte bistand Evne til læring

Hva kan vi gjøre dersom vi ikke stoler 100% på de som leverer utstyret vårt?

I hvilket punkt i utviklingsprosessen kan en utstyrsleverandør plassere inn en bakdør? public class Test { } public static void main(string args[]) { int x = 10; } while( x < 20 ) { System.out.print("value of x : " + x ); x++; System.out.print("\n"); } Kompilator 1. K.Thompson: Reflections on Trusting Trust, Communication of the ACM, Vol. 27, No. 8, August 1984, pp. 761-763 2. Huawei offers access to source code and equipment. http://www.bbc.co.uk/news/business-20053511.

Overordnede konklusjoner Når en ukjent tredjepart er fienden, finnes det metoder som, når de er korrekt implementert, og feilfritt benyttet gjør det vanskelig og ressurskrevende å bryte seg inn i et system uten å bli oppdaget. Når utstyrsleverandøren er fienden vil ingen kjent mekanisme, selv når den er feilfritt benyttet, ha vesentlig effekt på vår evne til å motvirke og oppdage innbrudd. Leverandørheterogenitet i infrastrukturen og sterk krypering ende til ende fremstår som de eneste virkningsfulle grepene.

Hva skjera? Sikkerhetsloven Fase 1 fase 2 NIS direktivet Personvernsforordningen (erstatter Personvernsdirektivet).

men hvilke tiltak bør vi foreslå? #Lysneutvalget