Johan Thulin. Technology Officer; Cyber Security IT-FORUM 2018 EFFEKTIV SÄKERHET

Transkript

1 Johan Thulin Technology Officer; Cyber Security IT-FORUM 2018 EFFEKTIV SÄKERHET

2 Cybersäkerhet

3 Nationell strategi för samhällets informations- och cybersäkerhet Skr. 2016/17:213 Gartner: "Senior Business Executives Are Finally Aware That Cybersecurity Has a Significant Impact on the Ability to Achieve Business Goals and Protect the Corporate Reputation

4 WORLD`S LARGEST Media company Merchant Software vendor Taxi company Owns no content! Owns no inventory! Doesn t write most apps! Owns no cars! Hotel chain Phone company Movie house Owns no property! Owns no infrastructure! Owns no theaters!

5

6

7 Operativ Teknik OT IT Informations Teknik Specialskrivna applikationer Styr en fysisk enhet Sak centrerad Silobaserad arkitektur Realtid + undvik personskador Stöttar fysiskt värdeskapande Standardiserade applikationer Styr informationsobjekt Människa centrerad Öppen arkitektur Ej Realtid + Undvik dataförlust Stöttar organisations processer

8 DIGITALISERING? Gartner: Digitalization is the use of digital technologies to change a business model and provide new revenue and value-producing opportunities; it is the process of moving to a digital business. Varför just nu? 1. Hög mognad angående användande av digitala lösningar. 2. Snabbare och billigare nätverk, tex 3G 5G 3. Fortsatt snabb utveckling av processorkraft

9 5 STEG FÖR DIGITAL TRANSFORMATION: MYNDIGHETS EKOSYSTEM Tillvals system AFFÄRS EKOSYSTEM Eftermarknad INFRA- STRUKTUR EKOSYSTEM Operatör INDUSTRI EKOSYSTEM 1 PRODUKTER 2 Smartare produkter 3 Uppkopplade produkter 4 Industriella ekosystem 5 Sammankopplade ekosysystem Produktutveckling Tjänsteutveckling

10 Så vad är problemet?

11 ATTACK MOT ELNÄTET I UKRAINA Attacken skedde 23 December 2015 och anses vara den första framgångsrika cyberattacken mot ett elnät. 30 Understationer stängdes av och ungefär människor var utan el i 1-6 timmar. Källa: Cyberattacks to Ukraine Power Grid Jianguo Ding, Skövde universitet, Elvira projektet

12 HÄNDELSEFÖRLOPP Källa: Whitehead, David E., et al. "Ukraine cyber-induced power outage: Analysis and practical mitigation strategies." Protective Relay Engineers (CPRE), th Annual Conference for. IEEE, 2017.

13

14 NOTPETYA Eternal Blue En sårbarhet framtagen av NSA släpptes 14:e april 2017 av gruppen Shadow Brokers Microsoft släppte redan 14:e Mars en patch (Security bulletin MS17-010) 12:e maj användes sårbarheten första gången av WannaCry 27:e juni användes sårbarheten av NotPetya Effekt (ett urval) Maersk miljoner USD i förluster Under 10 dagar: 4000 servers, PCs & 2500 applikationer byggdes om. 20% produktionsbortfall Merck 300 miljoner USD i förluster FedEx 300 miljoner USD i förluster

15

16

17 ??????

18 COMPLIANCE

19 ?? A vulnerability in the Open Systems Gateway initiative (OSGi) interface of Cisco Policy Suite could allow an unauthenticated, remote attacker to directly connect to the OSGi interface.?? The scope has at least three conflicting definitions. We identified three formal documents that define the scope of the ISMS (ISMS 4.3, A.8.1.1, ISMS Program Structure)??

20 HUR GÖR MAN EN HOT- OCH RISKANALYS? Beskriv förutsättningarna Definiera analysobjekt Identifiera hot Beskriv/ modellera riskerna Värdera Åtgärdsförslag Ta fram åtgärdsförslag Värdera riskerna

21 FÖRUTSÄTTNINGAR Konsekvens Organisationens uppdrag: Det värde som organisationen tillhandahåller Exempelvis hantera vårddata för att möjliggöra effektiv vård Organisationens målsättning: Organisationens eget syfte Exempelvis att tjäna pengar Organisationens ansvar: Den skada som kan uppkomma för andra Sannolikhet Riskaptit Exempelvis skada som kan uppkomma om patientdata kommer ut eller blir otillgänglig

22 SÅRBARHETER HÅRDVARA Bristfälligt Underhåll Portabilitet MJUKVARA Inga registreringsloggar Komplicerade gränssnitt NÄTVERK Brist på kryptering vid överföringar Enda åtkomstpunkt PERSONLIGT Bristfällig träning Brist på övervakning PLATS Ohållbart elektriskt system Kontor i område känsligt för övervämningar ORGANISATION Bristande ansvarsfördelning Inga arbetsbeskrivningar

23 SÅRBARHETER OCH HOT Tillgång Sårbarhet Hot Obevakat lager Stöld av utrustning Hårdvara fuktkänslighet Korrosion Mjukvara Nätverk Personligt Plats Organisation Brist på verifieringskedjan Komplicerat användargränssnitt Oskyddad kommunikationslinje Oskyddad lösenordsöverföring Otillräcklig träning Brist på övervakning Kontor i område känsligt för översvämning Ohållbart elektriskt system Ingen godkännandeprocess för nyttjanderätt Ingen dokumenthanteringsprocess Oupptäckt missbruk av rättigheter Fel i användningen Avlyssning Hackers Misstag Stöld av utrustning, misstag Översvämning Strömavbrott Missbruk av privilegier Datakorruption

24 VÄRDERING: BELASTNINGSATTACK Exempel Vi utsätts för en belastningsattack och vi måste vidta åtgärder för att upprätthålla tillgänglighet. Konsekvens Organisationens uppdrag: 1: Patientdata är fortfarande tillgänglig (med det går lite segt). Organisationens målsättning: 2: Åtgärderna kostar oss pengar Organisationens ansvar: 2: Användarna blir oroliga men utsätts egentligen inte för någon risk

25 VART SKALL MAN BÖRJA? 20 Prioriterade kontroller, uppdelade i tre kategorier Baskontroller (1-6): Kontroller som bör implementeras först i alla organisationer för en grundläggande förmåga att upprätthålla cybersäkerhet Grundläggande (7-16): Tekniska best practices som ger tydliga säkerhetsfördelar och är bra för organisationer att implementera Administrativa (17-20): Kontroller mer inriktade på människor och processer för att upprätthålla cybersäkerhet

26 BASKONTROLLER 1. Inventera och kontrollera hårdvara 2. Inventera och kontrollera mjukvara 3. Kontinuerlig sårbarhetshantering 4. Reglera användandet av administrative rättigheter 5. Säker konfiguration av mobila enheter, bärbara, arbetsstationer och servers 6. Upprätta, övervaka och analysera säkerhetsloggar

27 GRUNDLÄGGANDE KONTROLLER 7. Skydd av och web klienter 8. Skydd mot skadlig kod 9. Kontrollera och begränsa öppna porter och tjänster samt protokoll 10.Backup, återställningsförmåga 11.Säker konfigurering av nätverksenheter som tex brandväggar, routers och switchar

28 GRUNDLÄGGANDE KONTROLLER 12. Perimeterskydd 13.Dataskydd 14.Begränsa åtkomst enligt minsta behörighets principen 15.Kontroll av access till trådlösa nätverk 16.Kontroll över och monitorering av användare och konton

29 ADMINISTRATIVA KONTROLLER 17. Säkerhets medvetenhet och kompetensutveckling 18.Applikations och mjukvaru -säkerhet 19.Incidenthantering 20.Penetrationstester och red team övningar

30 SAMMANFATTNING Höja medvetenheten om behovet genom att förstå och sprida medvetenhet om hotbilden Det går inte att uppnå 100% säkerhet, fokusera på de faktiska riskerna Det finns mycket hjälp att få, tex eller

31