Informationssäkerhet. Veronika Berglund Hans Carlbring Bo Hiding. Säkerhetsenheten

Transkript

1 Informationssäkerhet Veronika Berglund Hans Carlbring Bo Hiding Säkerhetsenheten

2 Innehåll Säkerhetsenheten och säkerhetsarbetet på universitetet Laget runt kort om kursdeltagarna Lagar och riktlinjer Lösenord Mobila enheter Virus och skadlig kod Sociala medier och molnet E-post Säkerhetskopiering Avslutande diskussion Säkrare e-kommunikation, digital signering

3 Säkerhetsenheten Säkerhet för hela universitetet Personsäkerhet Hot och våldsutbildningar Konsultationer och säkerhetshöjande aktiviteter Bevakning Larm Passerkontroll Kris och kontinuitetshantering Övning Information Risk och sårbarhetsanalys Egendomsskydd Brandskyddsutbildningar Systematiskt brandskyddsarbete Restvärdesräddning Universitetets verksamhetsförsäkring Riskanalyser Teknisk säkerhet Bevakning Skalskydd Larm Passerkontroll Utbildningar Informationssäkerhet Informationssäkerhetsklassningar Dokumenthantering Mobil utrustning (bärbara datorer, smarta telefoner, surfplattor osv) IT-säkerhet Internet, webben Riskanalyser Säkerhetsanalyser, säkerhetsgranskningar Skydd mot virus, nätfiske, trojaner

4

5 Kort om kursdeltagarna

6 Lagar & riktlinjer

7 Lagar, ett axplock OSL - Offentlighets- och sekretesslag (2009:400) PuL - Personuppgiftslag (1998:204) Arkivlag (1990:782) Lag (2003:389) om elektronisk kommunikation Lag (2000:832) om kvalificerade elektroniska signaturer Lag (1998:112) om ansvar för elektroniska anslagstavlor Förvaltningslagen (1986:223) Förordning (1995:1300) om statliga myndigheters riskhantering MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) Tryckfrihetsförordningen Lagen om offentlig anställning E-delegationens riktlinjer för sociala medier

8 Universitetets riktlinjer IT, säkerhet Mål- och regelsamlingen Handlingsplan för IT Riktlinjer inom IT-området Riktlinjer för säkerhetsarbetet: informationssäkerhet Regler för användning av användarkonton och datornät Hantering av allmänna handlingar Arkivhandboken Kommunikationspolicy Säkerhet och IT i Medarbetarportalen Lösenordshantering Elektronisk signering Automatisk vidaresändning av e-post Mobila enheter Hantering av elektroniskt lagrad information

9 Lösenord

10

11 Riktlinjer Nya riktlinjer för lösenordshantering vid universitetet fr.o.m Gäller för alla IT-tjänster och system om inte särskilda skäl föreligger. Riktlinjerna omfattar två områden; lösenordskvalitet och lösenordsskydd. Teknikstöd för att säkerställa efterlevnad införs i universitetets gemensamma inloggningstjänst under 2014.

12 Syfte och mål Att förhindra obehörig åtkomst till känslig information. Inloggning ska ske via universitetets gemensamma inloggningstjänst till alla system där det är tekniskt möjligt. Not. Känslig information definieras i universitetets riktlinjer för informationsklassificering.

13 Ditt ansvar Som användare av universitetets informationssystem ansvarar du själv för att dina lösenord uppfyller den kvalitet och hantering som anges i dessa riktlinjer. att du håller dina lösenord hemliga. att, som en del av ovanstående punkt, aldrig uppge dina lösenord till någon som efterfrågar dem via e-post, i telefon eller på annat sätt.

14 Lösenordskvalitet minst 10 tecken. vara sammansatt av följande tecken: A Z a z 0 9 mellanslag följande specialtecken: #, $, %, ^, &, (, ), _, +, -, *, /, =, {, }, [, ],, \, :, ;,,, <, >,, (kommatecken),. (punkt), och? innehålla minst en versal, minst en gemen och antingen minst ett specialtecken eller en siffra.

15 Lösenordskontroll sammansatt enligt f.g bild. inte finns i katalog med dåliga lösenord (123456, årstider, bilmärken etc). inte är samma som närmast föregående. inte är för lika varandra (gäller A- och B- lösenord). Lösenordet går ej att spara om det inte uppfyller minimikraven. Not. Införs prel. under Q för nätverkslösenord (A) och till gemensamma IT-tjänster (B).

16 Lösenordsskydd Datalagring och transport av lösenord alltid i krypterad form. aldrig i läs/hörbar form via e-post, telefon el motsv. Skydd mot gissningsattacker (rate limiting) max. 10 felaktiga gissningar inom 60 min. därefter låses kontot 5 min. Tvingande lösenordsbyte inom 24 mån. för anställda och övr. verksamma. inom 5 år för studenter. Not. Införs prel. under Q3-Q4 2014

17 Till sist Lösenord och PIN-koder är personliga och ska hållas hemliga Byt omedelbart om någon annan kan ha fått reda på det Anmäl till om någon (t.ex. i e-post eller i telefon) försöker lura av dig lösenordet Använd andra lösenord för tjänster utanför universitetet (twitter, facebook, google, gmail )

18 Mobila enheter

19

20 Mobila enheter Bärbar dator Läs- och surfplatta Smart mobiltelefon och liknande Portabla lagringsmedia Minneskort USB-minnen Externa hårddiskar och liknande

21 BYOD Bring Your Own Device En företeelse för universitetet att förhålla sig till

22 Är det något vi oroar oss över vid Uppsala universitet? Risk- och sårbarhetsanalys för Uppsala universitet 2013 Känslig information och dokument som lagras okrypterat i molnet eller på mobila enheter (BYODs) utan lösenordsskydd

23 Vad finns i universitetets riktlinjer med anknytning till mobila enheter och BYOD? Från Riktlinjer inom IT-området (Dnr UFV 2013/907): Personlig utrustning som används vid studier eller i tjänsteutövning ska, oavsett om den ägs av universitetet eller enskild verksam, hanteras på ett säkert sätt som minimerar risken för informationsförluster och intrång i universitetets datornät. Nivån på skyddet ska bedömas utifrån graden av känslighet på den information som lagras i eller som på annat sätt kan nås via enheten.

24 minimerar risken för informationsförluster och intrång i universitetets datornät. Hur då? Nivån på skyddet ska bedömas utifrån graden av känslighet på den information som lagras i eller som på annat sätt kan nås via enheten. Hur bedömer man det?

25 Angående nivå på skydd det handlar till stor del om medvetenhet! Medvetenhet om hur jag använder telefonen/plattan och vilken information jag lagrar i den. Det är lätt gjort att jag hanterar min mobiltelefon på ett friare sätt jämfört med hur jag hanterar min dator. Tänk på din mobiltelefonen på samma sätt som du tänker på din dator! Behovet av skydd är större för en platta som innehåller känsliga tjänstedokument än en mobiltelefon som jag använder enbart för att ringa och SMS:a med.

26 Hämtat från Regler och rekommendationer för användning av mobila enheter Enheten får inte lämnas fysiskt obevakad på osäker plats, t ex. hotellrum, i bil etc. Lösenordskydda enheten så att den blir låst när skärmsläckaren är aktiv Uppdatera enheten ofta, så fort tillgängliga uppdateringar finns. Lagra inte känsliga data eller dokument med personuppgifter i molntjänster, typ Icloud, Google Drive och liknande Öppna inte SMS/MMS från okända avsändare, klicka inte heller vidare på länkar som skickats från okända Installera endast de applikationer som det finns ett behov av Radera regelbudet information som inte längre behövs. Överför information till annan lagring vid behov

27 Vad kan hända? Vad ska jag vara orolig för? Problemet med skadlig kod ökar för kategorin mobila enheter. I takt med att de mobila enheternas användningsområden blir fler, kommer också hoten alltmer att rikta sig mot just dessa. Räkna med att de hot som vi pratar om när det gäller datorer också gäller för din mobiltelefon.

28 Spelar det någon roll vilket operativsystem som mobiltelefonen använder? Jämförelsen Android iphone motsvarar jämförelsen Windows Mac på persondatorsidan. Hoten riktar sig i mycket stor utsträckning mot det operativsystem som har den största spridningen och som dessutom är mera öppet. En förkrossande stor andel av den skadliga programkod som existerar i den mobila världen riktar sig mot Android. Behåll din Android, men var medveten om problemet!

29 Vad kan hända? Vad ska jag vara orolig för? Hämtat från en artikel i Ny Teknik: Så öppnar appar mobilen för spioner Slarv vid programmeringen av appar som görs på kända utvecklingsplattformar lämnar mobilerna öppna för dataspionage utan användarens vetskap. Programmerarna måste ta sig tid att bara aktivera de rättigheter som krävs för just den app de utvecklar. Problemet är att begäran om alla dessa rättigheter lämnar dörren öppen för datapioner via funktioner som kamera, kontakter, gps-position o s v. Mobilanvändaren märker inte något.

30 Säker användning av appar Installera endast de appar du behöver Försök bedöma om utgivaren är en seriös aktör Se upp med de frågor som ställs via appar. Ditt svar kan resultera i att du delar med dig av uppgifter som lagras i telefonen.

31 och den smarta telefonen är fortfarande en telefon Ja, det här är ju lite känsligt men..!

32 Vad gör jag om jag tappar bort eller blir bestulen på min mobiltelefon? Remote wipe: Raderar personliga inställningar och återställer fabriksinställningar Raderar SMS och MMS Raderar e-post Vid Uppsala universitet Remote wipe sätts till enable per automatik i och med att man synkar via Exchange och wipe utförs sedan enligt instruktion nedan (Om ej exchange gäller tredjepartsprodukter).

33 Logga in i webbmail (länk finns i Medarbetarportalen) Klicka på alternativ i övre högra hörnet välj visa alla alternativ

34 Välj Telefon (Mobila enheter) - här visas dina mobila enheter som är kopplade till ditt konto. Markera enheten i listan som du vill radera. Klicka på Rensa enhet. När rensningen är genomförd får du ett e-post meddelande om detta till din inkorg. Efter att du har fått en bekräftelse om rensning; gå till Telefon (Mobila enheter), markera enheten och välj Ta bort genom att klicka på krysset i rubriklisten (annars fortsätter synkningen med telefonen).

35 Virus och skadlig kod

36 Virus och skadlig kod Nästan alla virus sprids via webben Sårbarheter i olika program Surfar till smittad sida Klickar på länkar Du märker oftast inte att din dator smittats

37 Att skydda sig och sin information Tänk efter före Klicka inte på länkar i e-post eller IM Klicka inte på pop-up fönster som påstår att du har virus Mata inte in dina uppgifter i webbformulär som öppnats via e-postlänkar, IM eller sociala medier Undvik att ladda ner appar Installera säkerhetspatchar för alla program Ha ett antivirus som automatiskt uppdateras regelbundet Surfa utan javascript om möjligt Adobe Reader, Acrobat, Flash

38 Världens 25 vanligaste lösenord password qwerty abc iloveyou adobe admin letmein photoshop 1234 monkey shadow sunshine password1 princess azerty trustno

39 Adobe Reader, Acrobat och Flash Ändringar i Adobes Inställningar [Preferences] kan Hindra PDF-filer från att starta program Hindra javascript från att köra i PDF-filer Hindra PDF-filer från att öppnas automatiskt I webbläsaren Hindra Flash (SWF) sårbarheter från att utnyttjas i PDFfiler

40 Hjälp? Dator/IT-ansvarig vid institutionen Intendenturen på campus Säkerhetsenheten, tel 7560, e-post Universitetets helpdesk tel 7890, OBS! Medarbetare på Akademiska sjukhuset och Rudbecklaboratoriet kontaktar IT på Akademiska.

41 Sociala medier och molnet

42

43 Sociala medier Ett sätt att kommunicera, skapa relationer, främja dialog och dela kunskap

44

45 Sociala medier Samma regler som för e-postkommunikation men med fler och okända mottagare Allt mer ihopkopplade Höga förväntningar på snabbhet Allmän handling? Arkivering? Gallring? Inga sekretessreglerade uppgifter Undvik personuppgifter Använd inte privatkonto i tjänsten

46 Sociala medier Vem är du när du skriver i tjänsten eller privat? Vad och hur skriver du? Vem är det som läser? Lätt att missuppfatta eller feltolka Lätt att sprida vidare Publicering av bilder Kartlägga någon är lätt Svårt att få bort

47 Carl-Johan Wallenklev Säkerhetsenheten

48 Molntjänster

49 Molntjänster Ställer krav på dig som användare! Vilken typ av information? Vem äger information som lagras i molnet? Personuppgifter /sekretess medför särskilda krav Universitetets handlingar får inte förloras På vilket sätt ska tjänsten användas? Läst avtalet?

50 E-post

51

52 E-post som allmän handling Skräppost är inte allmän handling E-post ska kontrolleras dagligen arbetsdagar (vardagar) Inkorg och utkorg är allmän handling Handlingar via e-post ska diarieföras i samma utsträckning som pappershandlingar E-post får inte automatiskt vidaresändas utanför myndigheten

53 Att skicka e-post Undvik att blanda arbetspost och privat e-post Det finns alltid risk att andra kan ta del av meddelandet Lätt att skicka till fel mottagare av misstag Känsliga personuppgifter och sekretesskyddade uppgifter ska skickas krypterade

54 All e-post är inte äkta Några möjliga varningstecken: Frågor om personlig information: ditt användarnamn, lösenord, koder, kreditkortsnummer Hot med negativa konsekvenser: Ditt konto kommer att stängas / låsas / tas bort om du inte.. Länkar i e-posten: Nätfiskelänkar går ofta till helt andra ställen än de ser ut att göra. Var uppmärksam om möjliga risker innan du klickar på en länk. Skydda dig! Svara inte skicka istället det misstänkta brevet till security@uu.se eller ring oss, anknytning 7560.

55 All e-post är inte trevlig Hot / trakasserier i e-post Ta inte bort meddelandet Svara inte Skicka e-postmeddelandet till security@uu.se eller ring oss, anknytning 7560

56 Information?

57 Informationsklassning Oberoende av lagringsform (media) Vilken information? Avgränsa! Klassificera informationen Tillgänglig? På vilket sätt? Känsliga uppgifter? Får ej kunna förvanskas/förstöras? Skydda det som är skyddsvärt

58 Informationsklassning Utgå från informationens funktion och betydelse för verksamheten, och konsekvenserna om den skulle ändras, försvinna, hanteras felaktigt, komma i orätta händer, osv. Obehöriga ska inte kunna ta del av skyddsvärd information. (konfidentialitet - sekretess/ skyddsvärde) Vad blir konsekvensen om informationen hamnar i orätta händer? Informationen ska inte kunna förändras av misstag eller av någon obehörig (riktighet) Vad blir konsekvensen om information ändras? Information ska vara nåbar när den behövs (tillgänglighet) Vad blir konsekvensen om informationen inte går att nå?

59

60 Säkerhetskopiering

61

62 Se på din dator som något som kan fara i luften när som helst Diskkrasch Brand Radering eller uppdatering av misstag Intrång etc. Suck, diskkrasch och ingen backup! Typ surt!

63 Är det något vi oroar oss över vid Uppsala universitet? Risk- och sårbarhetsanalys för Uppsala universitet 2013 Förlust eller förvanskning (fusk) av forskningsdata pga. slarvig hantering av persondatorer, lokal lagring på persondatorer med bristfällig eller ingen backup, stöld, hackning etc.

64 Vad finns i universitetets riktlinjer med anknytning till säkerhetskopiering av persondatorer, mobil utrustning och portabla lagringsmedia? Från Riktlinjer inom IT-området (Dnr UFV 2013/907): Innehavaren är ansvarig för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt... Uppdateringar, antivirus och säkerhetskopiering sköts i normalfallet av IT-ansvarig/dataansvarig på respektive institution/motsvarande eller av intendenturen. Prefekt/motsvarande kan besluta om undantag från detta Hur funkar det vid min institution?

65 Vad finns i universitetets riktlinjer med anknytning till säkerhetskopiering och serverdrift? Driftorganisationen ansvarar för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt. Systemägaren försäkrar sig om detta genom upprättande av ett s.k. servicenivåavtal med driftorganisationen. Här finns en del att tänka på: Vad ska sparas och med vilken periodicitet? Hur länge ska data sparas? Behövs krypterad lagring? Test av återläsning? m.m.

66 Att tänka på Vad behöver jag göra själv? Kolla vad som gäller vid din institution. Säkerhetskopior ska förvaras säkert och skilda från berörda datorer. Lika viktigt som att ta säkerhetskopior är att testa att det går att återställa filer från dessa. Hur gör du med säkerhetskopiering hemma? Har du tusentals familjebilder och annat viktigt på din dator, men ingen backup?

67 Avslutande diskussion Är informationssäkerhet bara lås och bom eller öppnar det upp för nya och effektivare arbetssätt också? Diskutera gruppvis (5-10 min) om ni kommer på några exempel.

68 Projekt Säkrare e-kom Elektronisk identifiering på nätet (e-leg) Elektronisk signering av dokument Kryptering av e-post Kan ni se möjligheter nya arbetssätt i er vardag med dessa funktioner??

69 Elektronisk signering av dokument En elektronisk signatur, eller underskrift, identifierar, precis som en vanlig handskriven underskrift, personen som undertecknar ett dokument. Till skillnad från en traditionell underskrift på papper är en elektronisk underskrift svår att förfalska, eftersom den innehåller krypterad information som är unik för undertecknaren. Den kan lätt verifieras och informerar mottagarna om dokumentet har ändrats eller inte efter det att undertecknaren signerade dokumentet.