Anbefalinger om åpenhet rundt IKT-hendelser



Like dokumenter
NASJONAL SIKKERHETSMYNDIGHET

'c5 c ) HYDRO. " Det Konglige Forsvarsdeparteme R_, Postboks 8126 Dep 0032 OSLO VEDRØRENDE FORSLAG TIL STRATEGI FOR CYBERSIKKERHET

DET DIGITALE TRUSSEL- OG RISIKOBILDET

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Sikkerhet og informasjonssystemer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Fylkesmannens samfunnssikkerhetsinstruks. (19. juni 2015)

Sikkerhetsmessig verdivurdering

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Objektsikkerhet endringer i sikkerhetsloven

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

MØRKETALLSUNDERSØKELSEN 2010

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Grete Faremos tale pa Sikkerhetskonferansen 2013

btå FNO Finansnæringens Fellesorganisasjon

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

POLITIET KRIPOS HØRINGSUTTALELSE - NOU 2018:14 OG UTKAST LOV FOR GJENNOMFØRING AV NIS-DIREKTIVET SAK 1 - NOU 2018:14

Informasjonssikkerhet i Norge digitalt Teknologiforum

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Formålet med kommunal beredskapsplikt Dette oppnås gjennom på tvers av sektorer i kommunen Redusere risiko helhetlig ROS

Kan du holde på en hemmelighet?

NASJONAL SIKKERHETSMYNDIGHET

NÆRINGSLIVSKONTAKTEN i Nordland politidistrikt

NASJONAL SIKKERHETSMYNDIGHET

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

NSMs Risikovurdering 2006

Tilsiktede uønskede handlinger

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Strategi. Nasjonal strategi for informasjonssikkerhet

Risiko i et trygt samfunn

Rapportering av sikkerhetstruende hendelser til NSM

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Strategi for Informasjonssikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Nasjonal sikkerhetsmyndighet

Risikostyring på nasjonalt nivå

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Innhold Rutine for informasjon om TryggEst til ansatte og innbyggere... 3 Informasjon om TryggEst til ansatte i relevante tjenester...

Beredskapsledelse. Hvordan forbedre effektivitet og samvirke? PREPARED. Sikkerhetssymposiet 2016 Jo Tidemann

å PoLmET á OSLO POLITIDISTRIKT b. Frist for innspill til Politidirektoratet også forelagt andre enheter i politidistriktet.

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017

Deres ref Vår ref Dato 15/ /

Erfaringer fra tilsyn etter 4 år med. lov om kommunal beredskapsplikt

NSM NorCERT og IKT risikobildet

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter

Totalforsvaret status og utfordringer. Orientering for konferansen «Samfunnssikkerhet 2015», 2. feb GenLt Erik Gustavson, Sjef Forsvarsstaben

Nasjonal sikkerhetsmyndighet

Nasjonal helseberedskap

ALVORLIGE HENDELSER I BARNEHAGER OG UTDANNINGSINSTITUSJONER En veiledning for beredskapsplanlegging

STYRESAK. Styremedlemmer Helse Fonna HF GÅR TIL: FØRETAK: DATO:

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Sikre samfunnsverdier et samspill mellom virksomhetene og NSM

Ny sikkerhetslov og forskrifter

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Nasjonal sikkerhetsmyndighet

Saksbehandler: Eli Eriksrud Arkiv: X31 &20 Arkivsaksnr.: 16/43

Regler for behandling personopplysninger Svea Finans AS

Klage fra Sigdal kommune på Politidirektoratets avgjørelse av 13. januar 2017 om endringer i lokal struktur i Sør-Øst politidistrikt

Klage fra Kvinesdal kommune over Politidirektoratets avgjørelse av 13. januar 2017 om endringer i Agder politidistrikts lokale struktur

Sikkerhetslov og kommuner

Planlegging av øvelser

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Beredskapsanalyse. Terminologi. Vi viser til omtale av terminologi i notatet om beredskapsplanverket. Side 1 av 5

Overordnet IT beredskapsplan

Høring forslag til ny organisering av funksjon og oppgaver som i dag ivaretas av Det kriminalitetsforebyggende råd (KRÅD)

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

POWEL DATABEHANDLERAVTALE

Klage fra Lødingen kommune over Politidirektoratets avgjørelse av 13. januar 2017 om endringer i Nordland politidistrikts lokale struktur

FYLKESMANNEN I SØR-TRØNELAG. Evalueringsrapport. Varslingstest for kommunene i Sør-Trøndelag februar 2017

OVERSIKT SIKKERHETSARBEIDET I UDI

Høring - EU direktiv om tiltak for et høyt felles sikkerhetsnivå i nettverk og informasjonssystemer i EU (NIS-direktivet)

Migrasjon 2015 læringspunkter fra en krisetid

Retningslinjer for varsling av kritikkverdige forhold

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Strategi. Nasjonal strategi for informasjonssikkerhet

Oppsummering fra gruppene på møte mellom departementene og sivilsamfunnsorganisasjonene 19. juni 2018

Mål og strategier. kommunikasjonsstrategi

Nøkkelinformasjon. Etatsstyring

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Politiets rolle, organisering, samhandling og beredskap

Klage fra Bindal kommune over Politidirektoratets avgjørelse av 13. januar 2017 om endringer i Trøndelag politidistrikts lokale struktur

Høringssvar - Forslag til strategi for cybersikkerhet

Brudd på personopplysningssikkerheten

Samfunnets sikkerhet og beredskap - sett fra Riksrevisjonen. Riksrevisor Per-Kristian Foss. Samfunnssikkerhetskonferansen. 4. januar 2018.

Høringsinnspill fra Abelia: Meld. St. 38 IKT-sikkerhet - et felles ansvar

Transkript:

Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep. Både olje- og energibransjen, norske banker, myndigheter og industriselskaper har tidligere opplevd dataangrep, og dataspionasje. Deling av informasjon er viktig for å sette virksomhetene i bedre stand til å forebygge, avdekke og håndtere slike hendelser. NSM har, som det nasjonale fagmiljøet for IKT-sikkerhet, på oppdrag fra Justis- og beredskapsdepartementet, utarbeidet anbefalinger for hvordan offentlige og private virksomheter bør vurdere åpenhet om IKT-hendelser. Anbefalingene er laget i samarbeid med Direktoratet for forvaltning og IKT (Difi), Norsk senter for informasjonssikring (NorSIS), Politidirektoratet (POD) og Næringslivets sikkerhetsråd (NSR). Når en virksomhet vurderer åpenhet vil det være en rekke kryssende hensyn, men NSMs klare anbefaling er at åpenhet innenfor forsvarlige rammer vil ha stor samfunnsmessig nytte. Gjennom deling av informasjon legger virksomheten også til rette for selv å kunne motta bistand til håndtering av hendelsen. Deling av informasjon om hendelser tilrettelegger for læring og bedre forebygging, både i egen virksomhet og hos andre. Ulike kategorier for åpenhet Åpenhet kan inndeles i tre ulike kategorier. 1. Enkelte hendelser kan være underlagt en lovbestemt rapporteringsplikt, og åpenheten vil da bestå i at virksomheten rapporterer hendelsen til et eller flere myndighetsorganer. 2. Åpenhet kan bestå av målrettet deling av informasjon med berørte aktører, og slik være en forutsetning for en god håndtering. Postadresse Sivil telefon/telefaks Militær telefon/telefaks Postboks 814 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 Ugradert 1306 SANDVIKA E-postadresse Internetadresse (URL) post@nsm.stat.no www.nsm.stat.no

3. Åpenhet vil kunne omfatte en offentliggjøring av hendelsen for eksempel i media. Nedenfor følger anbefalinger knyttet til hvordan virksomheter bør forholde seg til de ulike åpenhetskategoriene. Rapportering og anmeldelser Flere regelverk stiller krav til rapportering av IKT-hendelser. Dette gjelder for eksempel: rapportering til NSM om hendelser av betydning for rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser, i henhold til sikkerhetsloven. rapportering til Datatilsynet ved IKT-hendelser som har medført uautorisert utlevering av personopplysninger, i henhold til forskrift til personopplysningsloven. rapportering til ulike tilsynsmyndigheter, i henhold til regelverk innenfor den enkelte sektor. Tilsynsmyndigheter må ha et best mulig bilde av sikkerhetstilstanden for både å kunne videreutvikle sikkerhetstiltak og gi råd og veiledning til virksomhetene. Virksomheter som er utsatt for IKThendelser bør også rapportere/anmelde disse til politiet for å muliggjøre etterforskning og eventuell straffesaksforfølging. Mørketallsundersøkelsen fra NSR og NSMs erfaring indikerer at det i dag er en underrapportering av hendelser. Det er derfor viktig at virksomheter underlagt slik rapporteringsplikt følger opp denne, og samtidig vurderer anmeldelse til politiet der dette er relevant. Dette vil komme både egen, og andre virksomheters sikkerhet til gode. Slik rapportering bør skje så raskt som mulig og i henhold til bestemmelser i gjeldende sektorregelverk. Deling Formålet med deling av informasjon om IKT-hendelser er å sette andre virksomheter og myndighetene i stand til å forebygge, avdekke og håndtere hendelser. Når en hendelse inntreffer bør virksomheten eller driftsleverandør varsle og dele informasjon så raskt som mulig for å bidra til en best mulig operativ håndtering av hendelsen. Rask deling er påkrevd for at informasjonen skal ha verdi for mottaker. Informasjonen som deles bør være så detaljert at mottaker kan iverksette nødvendige egenbeskyttelsestiltak basert på informasjonen. Mangel på detaljert informasjon om en hendelse bør likevel ikke være til hinder for deling. Informasjon som ikke er detaljert vil også kunne være av verdi for andre ved å synliggjøre at IKT-angrep foregår, og kunne bidra til å sette sammen et helhetsbilde som flere kan nyttiggjøre seg av. Informasjon bør deles med sektorvise responsmiljøer, slik at andre virksomheter som kan være berørt blir varslet. Informasjon bør også deles med Norsk senter for informasjonssikring (NorSIS). 2 av 5 2015-05-18 A03 - S:14/04372-24

Gjennom NorSIS vil informasjon kunne tilrettelegges og formidles til små og mellomstore virksomheter som ikke er knyttet til et sektorvis responsmiljø. Videre bør informasjonen deles bredt med politi og med andre relevante offentlige myndigheter. Deling av informasjon bør skje i så stor utstrekning som mulig. Det er ingen absolutte begrensninger for informasjonsdeling utover hva som følger av lovbestemt taushetsplikt. Der politiet har etablert en etterforskningssak, eller et tilsynsorgan har en sak til behandling, bør deling skje etter samråd med disse. Der statlige aktører kan stå bak, og saken håndteres av EOS-tjenestene, bør en eventuell informasjonsdeling skje i tett samarbeid med disse. Gjennom deling av informasjon legger virksomheten til rette for også selv å kunne motta bistand til håndtering av hendelsen. Det er også viktig at erfarte hendelser deles for å tilrettelegge for læring og bedre forebygging både i egen virksomhet og hos andre. Erfaringer fra håndtering av hendelser bør derfor i etterkant deles med både de overnevnte aktører, samt bransjeorganisasjoner og relevante interesseorganisasjoner. Justis- og beredskapsdepartementet (JD), i samarbeid med Forsvarsdepartementet (FD), er i ferd med å etablere en struktur for håndtering av IKT-hendelser. Dette skjer gjennom en målrettet oppbygning av sektorvise responsmiljøer med relasjoner til sektorens virksomheter og NSM NorCERT. Dette er forankret i nasjonal strategi for informasjonssikkerhet med handlingsplan. Herunder er det utarbeidet en modell for hvordan samarbeidet skal foregå mellom aktørene i strukturen. 1 Modellen forutsetter at virksomhetene deler informasjon med sitt sektorvise responsmiljø. Dette miljøet har ansvar for å tilrettelegge for informasjonsdeling, og videreformidle informasjon til og fra virksomhetene i sektoren. De sektorvise responsmiljøene skal sikre at alle relevante aktører mottar korrekt varslingsinformasjon og settes i stand til å gjøre nødvendige tiltak. Miljøene vil ha en bistandsfunksjon mot virksomhetene og er også sektorens bindeledd mot NSM NorCERT. Der sektorvise responsmiljøer enda ikke er etablert, bør informasjon deles med NSM NorCERT og NorSIS. Den endelige beslutning om å dele informasjon om IKT-hendelser, og sette betingelser for bruk av informasjonen, ligger hos den enkelte virksomhet. Deling av informasjon er ikke ensbetydende med at den gjøres allment kjent. Offentliggjøring av informasjon behandles nedenfor. Offentliggjøring Enkelte aktører(som Telenor, Statoil og Forsvaret) har de siste årene vært åpne om IKT-hendelser de har vært utsatt for, men fortsatt er det slik at IKT-hendelser i liten grad blir offentliggjort. 1 Skriv fra JD til departementene av 18.11.14 3 av 5 2015-05-18 A03 - S:14/04372-24

Offentliggjøring er viktig for å informere befolkningen og mindre virksomheter om forhold som kan påvirke forretningsdrift, offentlige tjenester og hverdagslivet. Media vil være en viktig kanal for å nå fram til innbyggerne og små og mellomstore bedrifter. Offentlighet om IKT-hendelser vil ha stor samfunnsmessig nytte. Gjennom proaktiv offentliggjøring synliggjøres behovet for god sikkerhet, og hva som faktisk skjer på internett. Dette vil bidra til økt sikkerhetsbevissthet både hos virksomhetene og i samfunnet. Større grad av offentlighet om hendelser vil også bidra til å vise at for eksempel dataangrep kan ramme alle virksomheter i offentlig og privat sektor, og således å avmystifisere dette. En stor grad av offentlighet rundt IKT-hendelser vil legge til rette for en åpenhetskultur og gjøre det enklere for andre virksomheter å informere om hendelser hos seg. Gjennom offentliggjøring blir det også lettere å oppnå aksept og forståelse for behovet for god informasjonssikkerhet i offentlige og private virksomheter og i samfunnet som helhet. På den annen side må offentliggjøring av informasjon om IKT-hendelser praktiseres på en slik måte at taushetspliktbestemmelser ivaretas. De samfunnsmessige fordeler av offentliggjøring må også vurderes opp mot mulige negative konsekvenser, for eksempel om offentlighet kan utnyttes av trusselaktører til handlinger som kan ha store negative konsekvenser. Offentliggjøring bør heller ikke skje der dette kan være ødeleggende for en forsvarlig håndtering av saken. Til hjelp til gjennomføring av vurderingen Det er den enkelte virksomhet selv som må beslutte om man vil gå offentlig ut med en IKT-hendelse. Nedenfor følger noen råd til støtte for virksomhetenes vurdering: Er hendelsen eller elementer av denne av en slik karakter at allmenheten bør kjenne til dette? Kan offentliggjøring bidra til å forebygge hendelser i andre virksomheter? Ønsker virksomheten selv å gå offentlig ut eller er det mest hensiktsmessig at bransje- eller interesseorganisasjon eller sektorvise responsmiljø brukes som kanal for å unngå unødig eksponering av den aktuelle virksomhet? Risiko, og eventuelt skadepotensiale knyttet til offentliggjøring, må vurderes før en hendelse offentliggjøres. Det bør vurderes om sårbarheter som førte til hendelsen fortsatt kan utnyttes. Det bør generelt sett utvises større varsomhet med offentliggjøring mens en hendelse pågår, herunder hvor detaljert informasjon som kan offentliggjøres, enn rundt informasjon om en avsluttet hendelse. Ved offentliggjøring av tilsiktede hendelser bør det utvises varsomhet slik at detaljer om virksomhetenes og myndighetenes håndtering av hendelsen ikke eksponeres på en uønsket måte. Ved håndtering av hendelser der fremmede stater antas å stå bak bør offentliggjøring skje etter samråd med EOS-tjenestene. Offentliggjøring bør ikke skje der dette kan skade muligheten for effektiv håndtering av hendelsen, eller politiets etterforskning. 4 av 5 2015-05-18 A03 - S:14/04372-24

Er virksomheten i tvil om hendelsen bør offentliggjøres eller ikke, kontakt ekspertmiljøer som for eksempel egen sektor CERT, NorCERT eller NorSIS for å motta råd og veiledning. Vurdering av åpenhet som en del av øvelser IKT-hendelser bør være en integrert del av virksomheters øvelser i krisehåndtering. Virksomhetene anbefales å øve håndtering av IKT-hendelser som del av scenarier hvor målsettingen er å opprettholde drift og tjenesteleveranse. Åpenhet om IKT-hendelser bør inngå som et moment i slike øvelser for å bygge erfaring knyttet til vurderinger rundt dette. Kontaktpunkter NSM kan kontaktes for spørsmål knyttet til disse anbefalingene. Det vises også til internettsidene til Næringslivets Sikkerhetsråd (nsr-org.no) og Norsk senter for informasjonssikkerhet (norsis.no). 5 av 5 2015-05-18 A03 - S:14/04372-24

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding