Cyberhot och cybersäkerhet Ökade risker och nödvändiga åtgärder i digitaliseringens fotspår

Transkript

1 Cyberhot och cybersäkerhet Ökade risker och nödvändiga åtgärder i digitaliseringens fotspår 8 december 2017 Niklas Ljung

2 Agenda och cybersäkerhet Informationssäkerhet och cybersäkerhet Digitalisering Hotbild Vikten av starka lösenord Utmaningar för kommuner och landsting IT-säkerhet Tio tips

3 och cybersäkerhet 2016 förvärvades Ekelöw InfoSecurity AB Nordens ledande aktör i informationssäkerhet Drygt 70 cybersäkerhetskonsulter i Sverige Drygt 3000 cybersäkerhetskonsulter internationellt 3

4 Informationssäkerhet och cybersäkerhet

5 Informationssäkerhet Definitioner Myndigheten för Samhällsskydd och Beredskap (MSB): Förmågan att upprätthålla önskad sekretess (konfidentialitet), riktighet och tillgänglighet avseende information och informationstillgångar. Standarden ISO 27000: Informationssäkerhet är skyddandet av information mot en omfattande uppsättning hot för att säkerställa verksamhetens kontinuitet, minimera verksamhetsrisk och maximera avkastning på investeringar och affärsmöjligheter.

6 Hur kan informationssäkerhet uppnås? Sociala kontroller Utbildning, företagskultur, etc. Administrativa kontroller Informationssäkerhetspolicy, regler, rutinbeskrivningar, etc. Fysiska kontroller Säkerhetsdörr, inbrottslarm, brandlarm, övervakningskamera, etc. Tekniska kontroller Brandvägg, behörighetskontrollsystem (loggfunktion), intrångsdetekteringssystem, etc.

7 Cybersäkerhet Den del av informationssäkerheten som fokuserar på att skydda digitala tillgångar. Till digitala tillgångar räknas digital information och den hårdvara som krävs för att den digitala informationen ska vara tillgänglig och fungera. Cybersäkerhet blir allt viktigare i samhället då attacker mot digitala tillgångar blir allt vanligare.

8 Nationell strategi Bidra med långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet samt att höja medvetenheten och kunskapen i hela samhället. Omfattar hela samhället, d.v.s. statliga myndigheter, kommuner och landsting, företag, organisationer och privatpersoner /

9 Cyberattacker Sverige ska kunna genomföra cyberattacker - Försvarsminister Peter Hultqvist Cyberattacker blir allt vanligare. Sverige skall därför både höja tröskeln mot sådana IT-angrepp och bygga upp en helt ny, offensiv förmåga att genomföra egna attacker. Sverige utsätts kontinuerligt för olika typer av riktade angrepp, ofta mycket precisa, som skulle kunna orsaka stor skada. Detta pågår dagligen och är riktat mot svenska företag och myndigheter. I flera fall handlar det om utländska underrättelseorganisationer som står bakom de här angreppen, säger Peter Hultqvist och varnar: Vissa angrepp skulle kunna vara förberedelser för att i kris och krig slå ut svenska vitala system. Cyberangrepp kan också vara ett sätt att utöva påtryckningar långt innan det blir tal om en väpnad konflikt. Det har vi sett i både Estland och Georgien tidigare, påpekar Peter Hultqvist som inte vill peka ut något land.

10 Digitalisering

11 Vårt digitaliserade samhälle

12 Cybersäkerhetsstatus i svensk offentlig sektor

13 Sveriges IT-säkerhetsmognad Källa: Radar Ecosystem Specialists 2016 En undersökning i samarbete med Advenica, Dataföreningen, Sig Security och Christer Magnusson, doktor informationssäkerhet Stockholms Universitet Risk = kombinationen av skadefrekvens och skadeverkan

14 Hotbild

15 Pågående cyberattacker i världen

16 Skadlig kod (malware) Datorvirus. Sprider sig till filer lagrade på den infekterade datorn och följer med infekterade filer när de överförs till andra datorer. Mask/Worm. Sprider sig via datornätverk mellan datorer. Trojan.Utger sig för att göra en sak, men utför andra saker vanligen dolda för en användare, t ex nedladdning av spionprogram. Logisk bomb. Utför en (skadlig) handling under speciella villkor, t ex när ett visst datum infinner sig. Spionprogram/Spy ware. Spionerar på privat information på infekterade datorer, och skickar informationen över internet. Ransomware. En typ av skadlig programvara vars syfte är att utpressning, ofta genom att ta filer som gisslan via kryptering.

17 Vanligaste angreppssätten Trots att det finns ytterst sofistikerad cyberbrottslighet, så går...de flesta antagonisterna på de lägst hängande frukterna, det vill säga kända sårbarheter. Därför är det viktigast att börja bygga ett elementärt cybersäkerhetsprogram. 19

18 Hotaktörer cybersäkerhet (antagonistiska) Hacktivister INSIDER! Nationalstater Cyberterrorister Organiserad brottslighet

19 Här är de som hackar din dator Vad är egentligen en hacker? Inte sällan porträtteras de som unga, lite asociala män och så kallade "nördar". De framställs ofta som ytterligheter, de kan antingen vara idealister med samhällspatos eller kriminella spioner vilka utgör en fara för rikets säkerhet. Begreppet hacker behöver inte nödvändigtvis vara synonymt med en brottsling. Vissa vill utmana datasäkerheten på företag, och strävar efter att hitta hål i skyddsnätet. Andra hackare är kriminella. De använder de här säkerhetshålen och buggarna för sin egen eller andras vinning. Världens hackers har vuxit ur tonårsrummen och in i näringslivet. Att bryta sig in i företagens datasystem har blivit big business. 21

20 Flera typer av hackers Det finns olika hackers med olika syften och mål. Vilka är de vanligaste typerna, och vilka avsikter har de? Script kiddies småbarnen Långt ner i rankningen hittar vi script kiddies. De motiveras sällan av mer än spänningen och att kunna skryta för kompisar. Den här gruppen använder enkla verktyg för att automatiskt söka efter säkerhetshål och väljer oftast ut sina offer slumpmässigt. Dessa utgör en stor grupp. De har generellt liten IT-kunskap och förstår sällan konsekvenserna av sina handlingar. Hacktivisterna Högre i hierarkin finns hacktivisterna. De har starkare och mer konkreta motiv för sina handlingar. Det finns olika grupper som har mer sociala och ideologiska mål, fortsätter Bårdevik. Det kan också vara hackers med religiösa och politiska motiv. De är ofta starkt motiverade och arbetar hårdare för att nå målet än till exempel script kiddies. Istället för att bryta sig in i ett system försöker hacktivisten ofta tvinga en organisation eller ett företag på knä genom att överbelasta systemet. Och få publicitet för attacken. 22

21 White hat hackers Experter på IT-säkerhet använder ofta olika hattar som uttryck för hur mer avancerade hackers arbetar. De delas in i tre typer av hattar; white hat hacker, black hat hacker och grey hat hacker. Precis som en cowboy med vit hatt har white hat hackers ofta ett vänligt syfte. De kan vara säkerhetsspecialister som testar ett IT-systems säkerhet och gränser, för att se hur försvarslöst eller ogenomträngligt ett system är. De rapporterar sedan felen till utvecklare och ägare av systemen. Dessa personer beskrivs ofta som etiska hackers. De har mycket god inblick i programmering och säkerhetssystem samt en djup kunskap om hur nätverk och operativsystem fungerar. 23

22 Black hat hackers Black hat hackers bryter sig in i nätverk för att förstöra, ändra eller stjäla data. I westernfilmen har skurken ofta en svart hatt. Så även i hackervärlden. Dessa hackers bryter sig in i säkra nätverk för att förstöra, ändra eller stjäla data. Eller så har de för avsikt att göra nätet obrukbart. Till skillnad från en white hat hacker som alltid rapporterar fel undanhåller en black hat hacker det som upptäcks. Hittar hackern en svaghet i systemet hålls svagheten hemlig tills den kan utnyttjas i större skala. Till exempel avslöjar aldrig en black hat hacker om ett fel i Windows ger enkel åtkomst till ett datorsystem, eftersom felet då blir åtgärdat. De har alltid ont uppsåt. Det kan vara allt från att penetrera ett nätverk för att stjäla data, hacka e-postkonton, främja politiska agendor till att stjäla personuppgifter för att sälja identiteter vidare. Eller så bara utför de operationer av ren ondska. 24

23 Grey hat hackers Mellan en etisk white hat och en ondsint black hat finns en grey hat hacker med blandade avsikter. Dessa hackers avser inte att skada någon när de letar fel och brister i system, men de kan välja att inte avslöja felen till ägarna. Ibland går de längre och blir en black hat hacker. Till exempel kan en grey hat hacker hacka sig in i ett datasystem, för att sedan varna systemadministratören att systemet har en säkerhetsrisk. Sedan erbjuder de att korrigera felet mot betalning. Grey hat hackers arbetar ofta på egen hand, men ibland får de stöd av organisationer. Det kan vara maffialiknande strukturer som livnär sig på att kräva lösensummor för information eller genom att sälja den vidare. 25

24 Hacking as a service

25 Det dolda nätet

26 Kostnaden för IT-bedrägerier Kostnaden för bedrägerierna i Storbritannien är enligt Bedrägeri Indikator 2016 årliga rapport hissnande 193 miljarder pund.

27 Nya attackvektorer Attackvektorerna ökar och förändras i och med den snabba teknikutvecklingen med allt fler uppkopplade mobila enheter och Internet of Things. Nya skyddsmekanismer behövs USB-kondom

28 Vikten av starka lösenord

29 Vanligaste lösenorden på LinkedIn

30 Ett bra lösenord är Privat: Bara använt och känt av en person Hemligt: Ska inte lagras i klartext i någon fil eller program eller på post-it på din skärm Enkelt att komma ihåg: Så att man inte behöver skriva ner det Bilda en konstig mening Pinsam så du aldrig ger ut det Ett program ska inte kunna gissa vad lösenordet är inom en rimlig tid, till exempel mindre än en vecka. Långt lösenord.

31 Utmaningar för kommuner och landsting

32 Behov av både bred och djup kompetens Risk management Krishantering Fysiskt skydd IT-säkerhet Regulatoriska krav Skydd mot korruption Kravställning Riskanalyser Informationssäkerhet Incidenthantering 34

33 Nätverksarkitektur

34 God dokumentation Varför? Inte vara personberoende Regler och rutiner att följa Bestämma arbetets riktning Hjälp vid incident och kris Återkommande revisoner

35 Penetrationstester och kontinuerliga sårbarhetsskanningar Penetrationstester är ett effektivt sätt att få en uppfattning om kommunens tekniska säkerhetsnivå, men även hur kommunen arbetar med säkerhetsfrågorna Vi undersöker: Hur säker är kommunens yttre skydd mot externa attacker? Hur ser det interna skyddet ut om hackaren finns internt? Vilken status har den tekniska utrustningen för att förhindra attacker? Finns det någon beredskap inom kommunen att upptäcka en attack och hur snabbt reagerar man? Finns eskaleringsrutiner etablerade inom kommunen? 37

36 GDPR: Varför behövs en ny dataskyddsförordning? 38

37 GDPR: Exempel på personuppgifter Namn och kontaktuppgifter Personnummer Löneinformation Kreditkortsnummer Bilder & video CV och omdömen Röstinspelningar Användar-ID

38 GDPR: Exempel på känsliga personuppgifter Religiös eller filosofisk övertygelse Politiska åsikter Etniskt ursprung Fackligt medlemskap Genetisk & biometrisk data Information kring hälsa & sexualliv

39 IT-säkerhet Tio tips

40 IT-säkerhet Tio elementära tips 1. Håll programvaror uppdaterade 2. Installera antivirus-(säkerhets-)programvaror och håll dem uppdaterade 3. Använd starka lösenord 4. Gör ofta backup av datorerna och spara backupkopiorna flera månader 5. Ha fysiskt kontroll på din dator!

41 IT-säkerhet Tio elementära tips (forts) 6. Använd e-post och internet på ett säkert sätt - säkerhetsmedvetande 7. Försök att använda skyddade förbindelser (https) 8. Skydda känslig data genom kryptering 9. Använd personlig brandvägg (utanför kontorsmiljön) 10. Håll dig uppdaterad om IT-säkerhet!