Download   Report
  1. No category

Dagens trusselbilde for IT-sikkerhetsbrudd og

Dagens trusselbilde for IT-sikkerhetsbrudd og
hvordan hanskes med det?
Hvordan finne riktig IT-sikkerhetsnivå for din virksomhet?
Arild S. Birkelund
Bjørn A. Tveøy
Hva skal vi snakke om?
IT-sikkerhet – et ledelsesansvar
Trusler
Krav og
konsekvens
(BIA)
Kontinuitet
og ROS
Håndtering av
IT-kriser
IT-sikkerhet og ditt ansvar som leder
Du skal ha en klar formening om hvor viktig ITsikkerhet er for din virksomhet
1.
2.
3.
4.
5.
6.
7.
8.
9.
Hvor lenge kan driften hos deg være uten IT?
Har du informasjon i IT-systemene som ikke må komme på avveie? Eller bli ødelagt?
Hva skjer når Internett ikke er tilgjengelig?
Hva er konsekvensene av brudd på IT-sikkerheten hos deg? For produksjon, for
kundene, for ansatte, for økonomien, for omdømmet
Hva er trusselbildet for IT i din virksomhet? Naturhendelser, brann, datakriminalitet,
uhell, feil, utro tjener etc.
Har ledelsen diskutert hvilke krav man må stille til IT-sikkerhet?
Har dere oversikt over hvilke lov- og regelkrav som gjelder for IT-informasjonen?
Har ledelsen en formening om hvilke tiltak som er iverksatt for å oppnå tilfredsstillende
IT-sikkerhet? Teknologi, retningslinjer, sikkerhetskultur, styring
Er IT-sikkerhet et tema som tas opp i ledelsen?
Hva er IT-sikkerhet?
God IT-sikkerhet innebærer at du har styring på risikobaserte
administrative, tekniske og regulatoriske tiltak i din virksomhet slik at
–
–
–
–
Informasjon ikke skal komme på avveie eller bli ødelagt
Informasjon er tilgjengelig og korrekt
Tilgang til og endringer av informasjon er sporbare
Lov- og regelverk samt avtaler med forretningspartnere er oppfylt
IT-sikkerhet omfatter tiltak innen følgende områder
–
–
–
–
–
–
Fysisk sikring (adgang, brann, vann, strøm, datarom etc)
IT-teknologien du anvender
Driften av IT
Organisering, ansvar og styring
Policy og regelverk
Sikkerhetskultur Du kan godt kjøpe IT-tjenester, men
ansvaret for IT-sikkerhet er ditt
Arbeidsmetodikk i 10 punkter - IS
1.
2.
3.
4.
5.
Kjenne og forstå virksomheten
Rammebetingelser
Informasjon
Trusselbildet
Mål: Ledelsens krav – konsekvenser –
«BIA - Business Impact Analysis»
6. Hvilke sikkerhetstiltak fins? Sårbarheter?
7. ROS-vurdering, forslag til tiltak
8. Risiko- og tiltaksbehandling
9. Plan for å håndtere IT-krisehendelser
10. Styringshjulet
Trusler - Datakriminalitet
Skadevare (Malware)
ID-tyveri
DDOS
Eget lovbrudd
Utro tjener
Sabotasje
Tyveri
Konsekvenser - datakriminalitet
Straff og bøter, omdømme
Produksjonstans
Ødelagt informasjon
Dataspionasje
Springbrett
Andre trusselområder
1. Naturhendelser
2. Underleverandører (strøm, Internett)
3. Uhell (driftsfeil/-mangler, utilsiktet
utlevering)
4. Feilfunksjonering
5. Brann, vann
6. Utro tjener
7. Brudd på lovverk/avtale
Finnes rutiner/opplegg for
hendelses-/trusselshåndtering?
«Hvor skal vi?», spurte Nasse
Nøff.
«Jeg vet ikke», svarte Ole
Brumm
- og så gikk de dit …
Krav til driftssikkerhet
MNT – maks nedetid
MDT – maks datatap
Siste
konsistente
datakopi
Hendelse
inntreffer
Uker Dager Timer Min. Sek.
Hvor lang tid tilbake?
System
tilbake i drift
Sek. Min. Timer Dager Uker
Hvor lang tid for gjenopprettelse?
Data på avveie/utilsiktet, spionasje
MNT inkluderer:
• Feildetektering/feilretting
• Recovery av data
• Ta applikasjoner online
Krav til driftssikkerhet
MNT – maks nedetid
MDT – maks datatap
Siste
konsistente
datakopi
Hendelse
inntreffer
Uker Dager Timer Min. Sek.
System
tilbake i drift
Sek. Min. Timer Dager Uker
Epost
ERM/CRM
WEB
Data på avveie/utilsiktet, spionasje
MNT inkluderer:
• Feildetektering/feilretting
• Recovery av data
• Ta applikasjoner online
BIA - Business Impact Analyse
10 spm. til ledelsen
1.
2.
3.
4.
5.
6.
7.
Bruk og avhengighet av IKT
IKT tilgjengelighet?
Hva skjer ved et lengere uplanlagt IKT-driftsavbrudd?
Hvilke IKT-systemer er viktigst?
Hvor lenge kan avdelingen være uten IKT-støtte?
Hvor mye data tåler avdelingen å miste?
Er taushetsbelagt informasjon tilstrekkelig sikret? Konsekvenser av
lekkasje?
8. Hva er konsekvensen av et IKT-avbrudd på flere dager?
9. Hva er vurderingen på dagens IKT-driftssikkerhet (tilgjengelighet)?
10. Hvor ofte tåler din enhet at IKT er ute av drift i kontortiden?
BIA – praktisk eksempel fra virksomhet
Tjenesteproduksjon stanser
Ekstern produksjon går
Produksjonssystemene
Kundestøttesystemene
Datakommunikasjon
Personlig IT-utstyr
Lokaler
MNT 2 dager
P > 5 år
MDT 1 døgn
P = 1 - 5 år
1 ukes IT-driftsavbrudd
• 3000 saker
• 800 vedtak
• 300 nye saker
• 800 kundehenvendelser
• 800 bestillinger
Blir forsinket en uke
1 ukes IT-driftsavbrudd
• Inntektstap inntil 4 MNOK
• Overtidskost 2 MNOK
Tall vel begrunnet og forankret
Omdømme
• I dagspressen etter 1 – 2 dager
• Negative oppslag
• Overordnet myndighet
• Direktør
Du må klassifisere og sette krav til applikasjonene
Klasse
Parametere
Virksomhetskritisk
Svært Viktig
Normal
Mindre ”Viktig”
MNT: 1 time
MDT: 0 timer
Tilgjengelighet/oppetid: 99,9%
Åpningstid (tidsrom tjenesten er tilgjengelig): 24/7/365
Vedlikeholdsvindu: Ikke relevant
MNT: 4 timer
MDT: 1 time
Tilgjengelighet/oppetid: 99,6%
Åpningstid: 24/7/365
Vedlikeholdsvindu: Søndag 22:00 – 24:00
MNT: 8 timer (1 dag - dvs. 8 timers arbeidsdag)
MDT: 8 timer (1 dag)
Åpningstid: 08.00-16.00/mandag-lørdag
Vedlikeholdsvindu: Hverdager 17:00 – 07:00 og søndager
MNT: 16 timer (2 dager)
MDT: 8 timer (1 døgn – dvs. 8 timers arbeidsdag)
Åpningstid: 08.00-16.00/mandag-fredag
Vedlikeholdsvindu: Hverdager 17:00 – 07:00 og helg
Sårbarheter - datakriminalitet
Tekniske
sårbarheter
Admin
sårbarheter
Mangler i
• Sikkerhetspatching
• Oppgraderinger
• Whitelisting/blokkering
• Admin-rettigheter
• Skadevarebeskyttelse
• Sikkerhetskopiering/oppretting
• Nettverkssegmentering, NAC etc
• …
Manglende
• rutiner for å håndtere skadevareangrep
• veiledninger om skadevare mm
• opplæring i årvåkenhet hos ansatte og melding til IT
• opplæring og rutiner i behandling av
personopplysninger/taushetsbelagt informasjon
• …
Risikomatriser
Tiltak - datakriminalitet
Tekniske
tiltak
Admin
tiltak
Forbedre/implementere
• Sikkerhetspatching
• Oppgraderinger
• Whitelisting/blokkering
• Admin-rettigheter
• Sikkerhetskopiering/oppretting
• Skadevarebeskyttelse
• Nettverkssegmentering, NAC etc
• …
Etablere/igangsette
• IS-policy og formalregler
• Rutiner for å oppdage, melde og håndtere skadevareangrep
• Veiledning og opplæring til ansatte
– unngå skadevareangrep og ID-tyveri
– behandling av personopplysninger/beskyttelsesverdig
informasjon
• Cyberforsikring
• Ekstern IRT-tjeneste
Risiko- og tiltaksbehandling i ledelsen
Vurdere/vedta tiltak
• Redusere
• Øke
• Overføre
• Fjerne
• Akseptere
Hendelser og kriser
IT-kriseplan (må håndtere x antall hendelser)
Nr Beskrivelse
Tiltak
1
Brann/eksplosjon som rammer bygning,
brukernes arbeidsstasjoner blir ødelagt/ikke
tilgjengelig for lang tid
IT-beredskapsplan
iverksettes, se tiltak nr 1,
deretter nr 5.
2
Annen hendelse, f eks eksplosjon i
IT-beredskapsplan
omgivelsene eller andre forhold, f eks brann, iverksettes, se tiltak nr 2.
som gjør at lokalene ikke kan anvendes til ITarbeid – begrenset varighet
3
Vannlekkasje i bygning, oversvømmelse i
datarom, utstyr i datarom blir ødelagt,
lokalene ellers tilgjengelige
IT-beredskapsplan
iverksettes, se tiltak nr 3.
4
Datalekkasje, uautorisert tilgang/overføring
IT-beredskapsplan
iverksettes, se tiltak nr 4.
Du må utarbeide tiltak for hver hendelse
O DAT AL EK K ASJE, UAUT OR I SERT T I L GANG/OV ERFØ RI NG
Bakgrunn
Her gjelder det raskest mulig å få stoppet hendelsen, finne årsaken og fjerne den
samt vurdere konsekvens, informere etter behov og anmelde forholdet
Prioritet
Tiltak
Ansvar
1.
2.
Varsling i tråd med Beredskapsplan
Hvis lekkasjen fortsatt pågår, iverksette
tiltak for å stoppe. Finne årsak og fjerne.
Hvis driftsstans, vurdere reserveløsning
Vurdere konsekvens
Informere internt og til eksterne IT-bruk
Melde til relevant myndighet
(Datatilsynet, NSM, Finanstilsyn)
Anmelde forholdet Strl § 145
Kriseleder
IT-kriseteam
3.
4.
5.
6.
7.
Kriseteam
Kriseteam
Kriseteam
Kriseteam
Kriseteam
IT-kriseplan krever at du….






Gjennomfører forbedringstiltak
Implementerer IT-kriseløsning
Øving/kunnskap IT-krisehendelser
Endringer
Tilgjengelighet
Ansvarlig
Hvorfor gjør vi dette?
 Avbruddstid (MNT) og datatap (MDT) og risiko for datalekkasje i
tråd med virksomhetsledelsens informerte beslutning
 Optimal økonomi og ressursbruk – forbyggende og
skadereduksjon
 Optimal risikoreduksjon for hendelser
 Krav blir overholdt
Kontroll på IT-sikkerhet
Finansdepartementet – ROS-vurdert av Atea i 2008




Vi har vært operative her siden 22. juli
kveld, sier finansråd Svein Gjedrem i
Finansdepartementets reservelokaler
Alle våre viktigste funksjoner vil kunne
opprettholdes
Plan for beredskapslokaler i krisetid gjorde
at dette ble mulig
Arbeidet med Statsbudsjettet blir ikke
forsinket, sier Gjedrem
Takk for oppmerksomheten!
Arild S. Birkelund
Bjørn A. Tveøy
Klikk for å laste ned - The McKenzie Institute International

Klikk for å laste ned - The McKenzie Institute International

DATAKRIMINALITET Mak Luckin - TS

DATAKRIMINALITET Mak Luckin - TS

Syddansk universitet

Syddansk universitet

BiA brosjyre - Akademikerforbundet

BiA brosjyre - Akademikerforbundet

Varslingsliste FV Stamfisk 1

Varslingsliste FV Stamfisk 1

Syscom Connect

Syscom Connect

Kundebrev nr 3. Oktober 2014

Kundebrev nr 3. Oktober 2014

Samfunnskritiske IKT-systemer: Hva bør beskyttes?

Samfunnskritiske IKT-systemer: Hva bør beskyttes?

Strategipresentasjon 2014

Strategipresentasjon 2014

Omdømme- eller krisehåndtering?

Omdømme- eller krisehåndtering?

GLAMOX C50 — endeLøse LøsninGer

GLAMOX C50 — endeLøse LøsninGer

Forskningsrådets virkemidler for bedriftsrelatert forskning

Forskningsrådets virkemidler for bedriftsrelatert forskning

Forskningsrådets virkemidler for bedriftsrelatert forskning

Forskningsrådets virkemidler for bedriftsrelatert forskning

organisasjonskultur

organisasjonskultur

abcdocz.com

© Copyright 2024