Informationssäkerhet är värdelöst. utan kontext

Transkript

1 Informationssäkerhet är värdelöst utan kontext

2 Informationssäkerhet Tillgänglighet Riktighet Sekretess Spårbarhet

3 Tillgänglighet Min information är borta

4 Riktighet Hej, det är Lst. Jättestor kris i din kommun

5 Ska chefen se detta? Sekretess

6 Vem har gjort vad? Spårbarhet

7 Skydda det skyddsvärda

8 Lätt att göra rätt

9 Utmaningen

10 Syfte Volym Skyddsåtgärder

11 Vad ska skyddas Åtagande / Förmåga Resurser Risker

12 Åtagande / Förmåga Tillhandahålla god hälsosjukvård för personer inom särskilda boende (HSL) Tillhandahålla biståndshandläggning Tillhandahålla en trygg och säker miljö för barn inom förskoleverksamheten

13 Konsekvens för: Människa Miljö Egendom Staden/samhällets funktionalitet Människa Försumbar personskada Mindre allvarlig personskada Allvarlig personskada Bestående men/enstaka dödfall Flertalet dödsfall

14 A. > 1 vecka B. > 3 dagar 1 vecka C. > 1 dygn 3 dagar D. > 2 timmar 1 dygn E. < 2 timmar

15 Risk Orsak 1 Orsak 2 Orsak 3 Orsak 4 Konsekvens 1 Konsekvens 2 Konsekvens 3 Sannolikhet Konsekvens

16 K S

17 Alternativ och förmåga att möta störningar Åtagande: Omvårdnad på vård- och omsorgsboende Tillgänglighetskrav: 4h (innan oacceptabel skada på liv och hälsa) Kritiska aktiviteter 1 Medicinering 2 Hygienrutiner 3 Tillaga och servera måltider 4 Städning 4 tim. 6 tim. 6 tim. 8 tim. Interna resurser 1. Sjuksköterska 2 Handsprit 3 Kök 1 It-systemet X 3 tim. 3 tim. 5 tim. 3 tim. Externa resurser 1. Läkemedel 1,2,3. El 1, 2, 3, 4. Kollektivtrafik 1,2,3,4 Vatten 2 tim. 2 tim. 1 tim. 1 tim.

18 Alternativ och förmåga att möta störningar Åtagande: Omvårdnad på vård- och omsorgsboende Tillgänglighetskrav: 4h (innan oacceptabel skada på liv och hälsa) Kritiska aktiviteter 1 Medicinering 2 Hygienrutiner 3 Tillaga och servera måltider 4 Städning 4 tim. 6 tim. 6 tim. 8 tim. Interna resurser 1. Sjuksköterska 2 Handsprit 3 Kök 1 It-systemet X 3 tim. 3 tim. 5 tim. 3 tim. Externa resurser 1. Läkemedel 1,2,3. El 1, 2, 3, 4. Kollektivtrafik 1,2,3,4 Vatten 2 tim. 2 tim. 1 tim. 1 tim.

19 Alternativ och förmåga att möta störningar Åtagande: Omvårdnad på vård- och omsorgsboende Tillgänglighetskrav: 4h (innan oacceptabel skada på liv och hälsa) Kritiska aktiviteter 1 Medicinering 2 Hygienrutiner 3 Tillaga och servera måltider 4 Städning 4 tim. 6 tim. 6 tim. 8 tim. Interna resurser 1. Sjuksköterska 2 Handsprit 3 Kök 1 It-systemet X 3 tim. 3 tim. 5 tim. 3 tim. Externa resurser 1. Läkemedel 1,2,3. El 1, 2, 3, 4. Kollektivtrafik 1,2,3,4 Vatten 2 tim. 2 tim. 1 tim. 1 tim.

20 IT - InformationsTeknik

21 Verksamhet Teknik Säkerhet Informationssäkerhet IT-Säkerhet Data säkerhet

22 Säkerhet Kryptering Informationssäkerhet IT-Säkerhet Data säkerhet E-postkryptering Filkrypto Hårddiskkrypto Transmissionskrypto PKI Cetificate Autority (CA) Web of Trust (WoT) Simple PKI (SKPI) AES Keylength 128, 192, 256 bits Operationmode CBC, CFB, CTR, OFB: NIST SP A Operationmode GCM+GMAC: NIST SP D Operationmode (XTS-AES): NIST SP E

23 Varningar

24 Tal Sida 24

25 Bildspråk Sida 25

26 Skriftspråk Sida 26

27 Fotografi Sida 27

28 Vilka krav ställer detta på oss? Sekretess Big data Sociala medier Tillgänglighet Mobilitet Moln Riktighet Spårbarhet Sida 28

29 Utan teknik Offentliga rummet Byggnaden Rummet H Handen Sida 29

30 Distanshot

31 Med teknik H Teknik möjliggör en avståndsökning Teknik och Människor har sårbarheter

32 Säkerhetsskydd Informationssäkerhet Tillträdesbegränsning Personsäkerhet SUA Administrativ säkerhet Teknisk säkerhet Organisation Regelverk Metoder IT-säkerhet Fysisk säkerhet ADB-säkerhet Kommunikationssäkerhet

33 Juridik Teknik Informationssäkerhet Säkerhet

34 Information TOP SECRET SECRE T STADSLEDNINGSKONTORET SIDAN 34

35 Hoten Illvilja Ovilja Slarv Okunnighet

36 Normal IT-miljö Vilken information finns på PDA eller smartphone Hot utpressning Var har dator varit? Vem/vilka använder datorn Riskfaktor barn Vilka använder den trådlösa överföringen Var kan/får/vill jag ansluta bärbar dator Nätverk? Vem levererar internet Var går kabeln INTERNET Möjligheternas plats

37 Hacking for fortune hacking for fame

38 De styggaste av de stygga SIDAN 38

39 Vad gör de? Kreditkortbedrägerier Barnpornografi Skadlig kod Underrättelsetjänst Traffiking Bedrägerier Utpressning Identitetsstölder Droger Utlåning SIDAN 39

40 SIDAN 40

41 Luring SIDAN 41

42 Exempel mail skickas 5% kommer fram ( ) 5% klickar på bifogad länk (5 000) 2% skriver in kreditkortsnummer (100) Ett genomsnittsbedrägeri är 8000 kronor 100 personer * 8000 kronor= kr SIDAN 42

43 Det går inte att visa bilden för tillfället. Logiska hot - Datorintrång (hackerns arbetssätt) Hitta / identifiera målet Kartlägg målet Social engineering Skaffa access till målet Applikations-/nätverks-/OS-hack Direkta nätverksattacker Öppna bakdörrar för framtida bruk Genomföra attacken/ uppnå syftet med attacken Sopa igen spåren och gömma sig MÅL MEDEL METOD SIDAN 43

44 Om jag kan få dig att köra mitt program på din dator är det inte din dator längre

45 Hur Bifogad fil Bifogad länk Besök på vissa siter på internet (Iframing) Lura dig Lägga usb i receptionen Ge bort ett program Använda fulkopierade program Ta kontroll över din dator genom att utnyttja sårbarheter

46

47 4. Nedladdare 3. Omstyrning 2. Hackad server 1. Besök på Aftonbladet.se 5. Omstyrning Till andra servrar som installerar andra hot

48 SIDAN STADSLEDNINGSKONTORET

49 Elak kod 2009 hade Symantec närmare 3 miljoner signaturer för elak kod 57% infekterade bara en enda dator by the numbers: Kaspersky Lab now detects 200,000 new malicious programs every day

50 Lek med siffror per dag 8333 per timme 138 per minut 2,3 per sekund... Law #8: An out of date virus scanner is only marginally better than no virus scanner at all

51 Aktuella hot/händelser Distribuerad överbelastningsattack (Ddos) I går DNS I dag NTP (400Gbps) I morgon SNMP (x650) SIDAN 51

52 Heartbleed Minne Heartbeat Dator Paket Server Paket SIDAN 52

53 Blackshades Symantec, FBI, Interpol, mfl Över 100 personer gripna Svensk kodskrivare (bosatt i länet) Sida 53

54 Hur ska ni skydda era organisationer eller företag. Klassificera informationen Implementera kraven

55 Informationsklassificering Lagen Verksamheten Administration Teknik

56 Offentlighets- och sekretesslagen (2009:400) 1 kap, 1 Denna lag innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar. Lagen innehåller vidare bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Dessa bestämmelser avser förbud att röja uppgift, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt.

57 Patientdatalag (2008:355) 8 kap 5 En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.

58 Informationsklassificering Definiera kraven Åtkomstbegränsning Tillgänglighet Riktighet Spårbarhet HÖG HÖG HÖG HÖG Medel Medel Medel Medel Låg Låg Låg Låg Säkerhetsprofil Å T R S

59 IT STADSLEDNINGSKONTORET SIDAN 59

60 Riktlinje för Informationssäkerhet SS-ISO/IEC 27002: INNEHÅLLSFÖRTECKNING 2.Inledning och omfattning 3.Definitioner 4.Riskbedömning och riskbehandling 5.Säkerhetsprogram 6.Organisation av informationssäkerheten 7.Hantering av tillgångar 8.Personal och säkerhet 9.Fysisk och miljörelaterad säkerhet 10.Styrning av kommunikation och drift 11.Styrning av åtkomst 12.Systemutveckling/-inköp och systemunderhåll 13.Hantering av informationssäkerhets Incidenter 14.Kontinuitets- och avbrottsplanering 15.Efterlevnad STADSLEDNINGSKONTORET SIDAN 60

61 Riktlinje för informationssäkerhet 7.2 Klassificering av information Alla stadens informationstillgångar ska vara klassificerade. Informationstillgångarna ska klassificeras (värderas) så att rätt skyddsnivå kan fastställas. Klassificering ska ske tidigt i samband med systemutveckling/-inköp men även i förvaltningsskedet. Klassificeringen utgår från faktorerna Åtkomstbegränsning, Riktighet, Tillgänglighet och Spårbarhet. Stadens fastställda metod för informationsklassificering ska användas Anvisningar för informationsklassificering Informationstillgångarna ska klassificeras för att säkerställa att de ges ett tillräckligt skydd. Förutom lagliga krav på skydd ska verksamhetens bedömning av informationens värde avseende åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet avgöra omfattningen av det skydd som ska uppnås Informationsklassificering ska ske enligt Handbok för Informationsklassificering. STADSLEDNINGSKONTORET SIDAN 61

62 STADSLEDNINGSKONTORET SIDAN 62

63 Systemskiss E-tjänst Baskart a Fråga Fastighet s register

64 Legala krav Pos Lag Tillämpbar (J/N) L1 Tryckfrihetsförordningen (SFS 1976:954) Uppfylld (J/N) Kommentar L2 Offentlighets- och Sekretesslagen (SFS 2009:400) Anteckna tillämpliga paragrafer här L3 Arkivlagen (SFS 1990:782) L4 Personuppgiftslagen, PUL (SFS 1998:204) OBS Även punkt nedan skall fyllas i om PUL är tillämpbar L5 Upphovsrättslagen (SFS 1960:729) Anteckna vilken slags information som avses L6 L7 L8 Lagen om kommunal redovisning/bokföringslagen (SFS 1999:1078) Lagen om skydd för landskapsinformation Lag om skydd för företagshemligheter (SFS 1990:409) L9 Säkerhetsskyddslagen (SFS 1996:627) L10

65 Personuppgifter Personuppgifter i IT-system Ändamål med behandlingen Kategorier/grupper av personer som berörs av behandlingen Personuppgifter eller kategorier/grupper av personuppgifter som skall behandlas Mottagare till vilka uppgifterna kan komma att lämnas ut Åtgärder som har vidtagits för att trygga säkerheten i behandlingen Kommer uppgifterna att överföras till tredje land? STADSLEDNINGSKONTORET SIDAN 65

66 3 2 1 Åtkomstbegränsning IT-systemet innehåller information som vid oönskad spridning endast medför ringa eller ingen skada. IT-systemet innehåller enbart allmän offentlig information. Med skada avses badwill, ekonomisk skada, men eller annan skada för staden eller intressent. I begreppet intressent innefattas personalen, kommuninnevånare, tredje man etc. IT-systemet innehåller sådan information som, om den kommer i orätta händer, kan medföra skada. Generellt tillämpligt: IT-system med känsliga personuppgifter enligt PUL Information som kan bli föremål för sekretess enligt SekrL övriga paragrafer. Information avsedd för egen personal. IT-systemet innehåller sådan information som, om den kommer i orätta händer, kan medföra allvarlig skada. Generellt tillämpligt: 1. IT-system med information som kan bli föremål för sekretess enl. OSL 7 kap 3 15 kap 1-2, 18 kap1-4, 8-10, kap 3, 21 kap 1, 2,3,4, 7 23 kap kap 1-6, 8, 10-11, kap 1-8, kap IT-system med information som påverkas av lagkrav hänförbara till visst verksamhetsområde t ex patientjournallag STADSLEDNINGSKONTORET SIDAN 66

67 Riktighet Riktighet Oriktig information medför endast ringa eller ingen skada. Data kan accepteras mer eller mindre utan kontroll. Oriktig information kan medföra skada. Generellt tillämpligt: IT-system som omfattas av lagrum där riktighetskrav anges (t ex. PUL). IT-system som ingår i myndighetsutövning. Information där krav på spårbarhet eller oavvislighet föreligger. Med innebörden att utförande av en specifik handling inte i efterhand skall kunna förnekas av utföraren. Oriktig information kan medföra allvarlig skada. Mycket strikt kontroll av i princip all data. Generellt tillämpligt: IT-system med särskilt höga krav på riktighet (t ex affärssystem). IT-system där hantering av information styrs av specifika lagparagrafer, t.ex. känsliga personuppgifter (pers. ansvar). IT-system för kritiska processer i verksamheten STADSLEDNINGSKONTORET SIDAN 67

68 Tillgänglighet Tillgänglighet 3 Avbrott medför endast ringa eller ingen skada. IT-system där verksamhetsberoendet är lågt. 2 IT-system som ingår i eller stöder verksamhet där avbrott kan medföra skada. Generellt tillämpligt: IT-system som ingår i eller utgör stöd för myndighetsutövning och/eller kärnverksamhet. 1 Avbrott kan medföra allvarlig skada. IT-system som ingår i eller stöder verksamhet där avbrott innebär att man inte kan upprätthålla nödvändig tillgänglighet och servicenivå i produktionen med alternativa metoder och procedurer. Generellt tillämpligt: För verksamheten mycket kritiska IT-system. STADSLEDNINGSKONTORET SIDAN 68

69 Spårbarhet Spårbarhet 3 Avsaknad av möjlighet att följa upp olika händelser medför endast ringa eller ingen skada. Inga behov av spårbarhet. 2 Avsaknad av möjlighet att följa upp specificerade händelser kan medföra skada. Spårbarhetskrav på vissa specificerade händelser i systemet och vem som skapat vad och när. 1 Avsaknad av möjlighet att följa upp specificerade händelser kan medföra allvarlig skada. Stora krav på att entydigt kunna följa vem som gjort vad, när detta skett och liknande relaterat till revisionskrav och/eller lagar och förordningar. STADSLEDNINGSKONTORET SIDAN 69

70 Kravkatalog Pos Nivå 3 Sp 301 Sp 302 Nivå 2 Sp 201 Sp 202 Sp 203 Sp 204 Nivå 1 Sp 101 Sp 102 Kravtext Driftlogg ska vara påslagen och med specificerade parametrar. (Används för uppföljning av funktionshändelser.) System/e-tjänst som lagrar ekonomiska transaktioner: Ekonomiska transaktioner ska kunna spåras. Säkerhetslogg ska vara påslagen och med specificerade parametrar. (Ska innehålla tid för in-/utloggning, anv-id och datum.) Projektledare/objektansvarigrepr. ska fastställa vilka händelser utöver inloggning och utloggning som ska ingå i säkerhetsloggen. (Ex.vis obehöriga åtkomstförsök till resurser (nätverk, information mm). Anvisningar ska finnas för hur systemets/e-tjänstens loggar övervakas och följs upp. (Objektansvarigrepr. formulerar kraven) Tillträde (fysiskt) till utrymme där känslig information hanteras (servrar) ska kunna loggas. Kopiering av information får ej ske utan att spårbarhet kan garanteras. Finns revisionskrav ska systemet/e-tjänsten kunna generera begärd information. STADSLEDNINGSKONTORET SIDAN 70

71 Tekniskt kravkatalog (Åtkomstbegränsning) Nivå 3 Pos Kravtext Uppfyllt V2.1 Verify that all pages and resources require authentication except those specifically intended to be public. Nivå 2 Pos Kravtext Uppfyllt V2.4 Verify that all authentication controls are enforced on the server side. V2.5 Verify that all authentication controls (including libraries that call external authentication services) have a centralized implementation. Nivå 1 Pos Kravtext Uppfyllt V2.15 Verify that all code implementing or using authentication controls is not affected by any malicious code. V3.4 Verify that sessions timeout after an administratively-configurable maximum time period regardless of activity (an absolute timeout). STADSLEDNINGSKONTORET SIDAN 71

72 Hur ska ni skydda er som privatpersoner? Ta kopia (back-up) Uppdatera Operativsystem Program Antivirusprogram

73 Björn Gustafson Informationssäkerhetschef Stadsledningskontoret. Säkerhetsenheten Ragnar Östbergsplan Stockholm Telefon: E-post: bjorn.gustafson@stockholm.se