SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Transkript

1 SSF Säkerhetschef Informationssäkerhet Per Oscarson

2 Incidenter och incidenthantering

3 Innehåll Hot och incidenter Typer av incidenter Hantering av incidenter Legala krav Allvarliga störningar och kriser Konsekvenser och kostnader av incidenter

4 Hot och incidenter Hot Incident Tänkt, befarad händelse Verklig, inträffad händelse

5 Kända och okända hot och incidenter Känd incident Okänd incident Okänt hot Aktören är överraskad av att en incident inträffat Aktören vet ingenting! Känt hot Aktören känner till att en väntad incident inträffat Aktören vet att en incident kan inträffa, men känner inte till att det hänt

6 Reaktivitet och proaktivitet Reaktiva åtgärder efter en incident är ofta proaktiva åtgärder inför framtida liknande incidenter (dvs. hot)! Därför måste man hela tiden arbeta utefter hela kedjan förebyggande återställande och försöka skapa generell säkerhet som skyddar mot det oväntade

7 Informationssäkerhetsincident Oönskad händelse som har, eller kunde ha, medfört skador hos informationstillgångar Informationstillgångar Incident Kan medföra skador på

8 Typer av incidenter I en organisation inträffar en mängd olika typer av oönskade händelser (incidenter) Alla incidenter Informationssäkerhetsincidenter ITincidenter

9 Viktigt att ha koll på incidenter Mått på faktisk säkerhet Osäkerhet finns alltid (antal, konsekvenser) För att skydda sig i framtiden och förbättra Att kunna visa på faktiska brister och behov för ledningar Mer konkret än hot och risker Kännedom om incidenter skapar medvetenhet

10 Hantering av incidenter Bör integreras i organisationens övriga incidenthantering Begreppet informationssäkerhetsincident behöver kanske inte finnas/användas IT-incidenter enligt ITIL är inte incidenter även avvikelser *ITIL Information Technology Infrastructure Library

11 Avväganden Vilka typer av incidenter som ska finnas och hur noggranna och exakta de ska vara Attribut/egenskaper istället för hierarki En viss incident kan då tilldelas flera egenskaper Hur konsekvenser/allvarlighet ska värderas Monetärt eller annat Hur noggrant, antal nivåer Koppling till riskhantering T.ex. samma nivåer av konsekvensvärdering

12 Aktiviteter vid incidenthantering Planera och förbereda Ansvar och roller, styrdokument, processteg, verktyg, utbildning m.m. Upptäcka och rapportera Kanaler för att rapportera Alla ska veta hur de ska rapportera! Bedömning och beslut Kategorisering, klassning, bedömning av vem, vad och hur osv. Åtgärder Lärande Åtgärder för att undersöka, lösa problemet, komma i drift, förhindra fler incidenter Identifiera brister och förbättra IT-/informations-säkerhet och incidenthanteringen. SS-ISO/IEC 27035:2012

13 Exempel på större haverier Överbelastningsattacker i södra Sverige september 2013 Skadlig kod Västra Götalandsregionen 2012 Telestörning hos TDC april 2013 Nätverksbortfall och avbrott i TakeCare juni 2013 Brand hos IT-leverantören EVRY nyår Källa: MSB

14 Hantering av IT-kriser En organisation måste kunna hantera ITkriser, t.ex. ett längre avbrott Ställer krav på Verksamheters kontinuitetshantering finns manuella/pappersbaserade reservrutiner? Organisationens, inklusive IT-avdelningens, krishanteringsförmåga Kravställning på externa IT-leverantörer, t.ex. vid upphandling av utlagda tjänster inklusive molntjänster

15 Konsekvenser av incidenter Direkta kostnader t.ex. Produktionsbortfall, kostnader för utrustning, skadeersättningar, böten/viten, Kringkostnader t.ex. Felsökningar, reparationstider, övertid, Indirekta konsekvenser, t.ex. Osäkerhet och rädsla hos medarbetare Mediedrev Badwill, förtroendetapp, förlorade kunder

16 Legala krav på incidenthantering MSBFS 2016:2 Dataskyddsförordningen

17 MSBFS 2016:2 Gäller fr.o.m 1 april 2016 Alla statliga myndigheter ska rapportera IT-incidenter som inträffar i myndighetens informationssystem eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Incidenterna som ska rapporteras är de som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för. När kommer liknande regler för andra organisationer?

18 IT-incident enligt MSBFS 2016:2 1. Störning i mjuk- eller hårdvara 2. Störning i driftmiljö 3. Informationsförlust eller informationsläckage 4. Informationsförvanskning 5. Hindrad tillgång till information 6. Säkerhetsbrist i en produkt 7. Angrepp 8. Handhavandefel 9. Oönskad eller oplanerad störning i kritisk infrastruktur 10. Annan plötslig oförutsedd händelse som lett till skada

19 Incidenthantering på nationell nivå CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) Ska stödja samhället i arbetet med att hantera och förebygga IT-incidenter. Verksamheten bedrivs vid Myndigheten för samhällsskydd och beredskap (MSB) Är Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa