Informationssäkerhetsmånaden 2018
Informationssäkerhet för dig som reser Ulrika Sundling Bo Hiding
Säkerhetsavdelningens områden Riktlinjer för säkerhetsarbetet (UFV 2009/1929) Fysisk säkerhet Informationssäkerhet Personsäkerhet Hot och våldsutbildningar Konsultationer och säkerhetshöjande aktiviteter Bevakning Larm, passerkontroll Utbildning Egendomsskydd Brandskyddsutbildningar Systematiskt brandskyddsarbete Restvärdesräddning Universitetets verksamhetsförsäkring Riskanalyser Teknisk säkerhet Bevakning och skalskydd Larm, passerkontroll Åtgärder vid evenemang Informationssäkerkerhet enligt LIS Dokumenthantering IT-säkerhetsgranskningar Sårbarhetsscanningar Riskanalyser Säkerhetsanalyser Brandvägg/Syslogg Phishing, ransomeware, malware Copywrite ärenden Incidenthantering Pentester, forensik Utbildning Omvärldsbevakning Kris och kontinuitetshantering Utbildning Övning Information Risk och sårbarhetsanalys
Säker på resan Vilken information tar jag med mig på resan? Vad får jag med mig hem på mina enheter (kanske utan att jag märker det)?
Vilken information tar jag med mig på resan? Var lagrar jag min känsliga information och hur skyddas den? Jag lagrar all min forskningsdata i en lagringslösning vid universitetet. Jag är trygg med att den omgärdas av god säkerhet. men nu är det dags för en intressant tjänsteresa till Långtbortistan, så jag behöver lyfta över en del känsligt material till min egen laptop. Den har jag ju bra koll på! Säkerheten som omgärdar informationen är inte starkare än den svagaste länken!
Vad får jag med mig hem på mina enheter ( kanske utan att jag märker det)? Otillräckligt skyddade enheter och anslutning till oskyddade WiFi-nät ökar risken för att jag ska drabbas av någon form av skadlig kod.
Ska man vara orolig? Hur orolig ska man vara? Har vi vid universitetet erfarenheter av informationssäkerhetsmässig problematik kopplad till resor? Vi har erfarenhet av att medarbetare fått enheter stulna eller blivit av med dem på annat vis i samband med resor fått enheter beslagtagna drabbats av skadlig kod till följd av handhavande under resan Följ råden i denna presentation och känn dig trygg på resan!
Varför ger vi inte specifika råd för olika länder? Vårt budskap är att riskerna ökar så fort vi tar med oss våra enheter, och kanske också ansluter dem, utanför vår kontorsmiljö vi behöver alltid iaktta försiktighet var vi än befinner oss! Riskerna ökar i många fall vid resor, så ett särskilt fokus på resesäkerhet måste bedömas som relevant. Information om vad som gäller för olika länder utgör dock färskvara vårt råd när det gäller specifika länder är att söka aktuell information via UD och om det finns andra trovärdiga källor. Information från kollegor som nyligen besökt landet kan i många fall utgöra den bästa källan till aktuell information. SÄPO gör bedömningar angående vilka länder som just nu är att betrakta som högriskländer.
Förberedelser gör en riskbedömning innan du ger dig av! Vilken information har jag lagrad på enheten? I vilken form (krypterad/okrypterad)? Är informationen säkerhetskopierad? Hur känslig är informationen och behöver jag verkligen ha den på enheten under resan? Behöver jag verkligen ta med alla mina enheter? Kan en specifik lånedator utgöra ett alternativ? Har jag tillgång till universitetets VPN-tjänst? Om inte, ansök för att få tillgång - https://mp.uu.se/web/info/stod/it-telefoni/network-oncampus/vpn-service Är enhetens programvara uppdaterad? Är enheten utrustad/konfigurerad med standardmässigt säkerhetsskydd (automatisk låsning, lösenord/pin-kod, uppdaterat antivirusprogram etc.). Har jag någon kollega som besökt landet i fråga och som känner till särskilda saker att tänka på? Finns särskilda regler i det aktuella landet vad gäller att medföra krypterad information? Finns andra regler/restriktioner. (Svårt att hitta någon sammanhållen information om vad som gäller i olika länder kolla med resebyrån, UD och andra som besökt landet ifråga).
Hur gör man för att få tillgång till en lånedator? För resor utanför EU: -Kontakta säkerhetsavdelningen via e-post via sakerhet@uu.se och begär att få låna dator och telefon. -Utlämning/ återlämning sker via säkerhetsavdelningen
Hur fungerar VPN- Viruellt Privat Nätverk? En VPN-tunnel är en krypterad anslutning mellan två punkter på ett öppet nätverk (vanligtvis internet). Detta är särskilt viktigt när datorn kopplas upp mot offentliga nätverk för att förhindra att någon annan snappar upp allt du gör på internet.
Hur får jag tillgång till UU:s VPN-tjänst? https://mp.uu.se/web/info/stod/it-telefoni/network-on-campus/vpn-service
Under resans gång koppla på ditt kritiska tänkande! Håll ständig koll på dina enheter. Det låter väldigt trivialt, men det är ofta här som det brister. Om du använder din laptop i offentliga miljöer se upp med visual hacking. Använd sekretessfilter på din skärm! Koppla inte upp dina enheter mot publika WiFi-nät. Du delar dessa nät med okända, en del med tveksamma syften. Vissa nät sätts upp specifikt för att stjäla uppgifter och sprida skadlig kod. Även anslutning till lösenordsskyddade nätverk, exempelvis på hotell, kan medföra stora risker. Koppla upp dig mot UU:s VPN då du använder sådana och var kritiskt inställd till frågor som ställs i samband med anslutning till nätverket. Finns tillgång till Eduroam utgör det ett bra alternativ. Avaktivera tjänster som du inte behöver under resan (kan exempelvis handla om positionstjänster och blåtand). Om det delas ut gratis USB-minnen på mässan skippa dessa och köp de du har behov av. Använd din egen laddare. På vissa hotell kan laddare finnas utplacerade i rummen, ibland riggade för att plantera skadlig kod i de enheter som ansluts. och ha våra allmänna råd för en god informationssäkerhet i minnet på ett särskilt sätt under resan.
Finns tillgång till Eduroam utgör det ett bra alternativ Kolla https://www.eduroam.org/where/ En del städer har Eduroam över hela stan, andra bara i/nära lärosäten Autentiseringen till Eduroam utgör ett visst skydd, men ersätter inte VPN Använd Eduroam tillsammans med VPN
Att arbeta i öppna miljöer under resan Vem ser vad du har på din skärm? Använd sekretessfilter till din datorskärm! Vem hör vad du säger? Visual hacking Sök dig bort från de öppna ytorna då känslig information avhandlas
Anslutning till öppna publika wifi-nät - Avlyssning - Manipulera data Vad törs jag göra ansluten till ett öppet publikt nät? Vad ska jag tänka på?
och hackare sätter också upp egna wifi-nät Din telefon kan komma att automatiskt ansluta till ett nätverk som du använt tidigare. Hackaren lyssnar efter de nätverksnamn din enhet söker efter sätter upp ett eget nätverk med samma namn som får din telefon att koppla upp sig mot det falska nätverket När du är uppkopplad mot det falska nätverket kan hackaren avlyssna trafiken till och från telefonen och manipulera data i kommunikationen. Håll enhetens lista över kända trådlösa nätverk aktuell. Rensa listan från nätverk som du inte använder. Om enhetens operativsystem möjliggör detta stäng av funktionen för automatisk uppkoppling mot trådlöst nätverk.
Alternativ till att använda oskyddade nätverk Istället för att ansluta till fri WiFi eller okänd trådbunden anslutning För det mesta är det fullt tillräckligt att använda 3G/4G att koppla upp datorn via mobiltelefonen. 3G/4G anses normalt säkrare än wifi (det finns undantag, men inte i europa). Avstängd nätaccess när man inte behöver den liksom avstängd blåtand utgör rekommendationer för ytterligare ökad säkerhet.
Hemma igen! Lämna ev. lånedator till säkerhetsavdelningen för kontroll Kör en viruskoll på de enheter du haft med dig på resan Om du haft USB-minen med dig som använts under resan bör även dessa kollas. Var särskilt uppmärksam på ev. phishingförsök som kan ha koppling till din utlandsvistelse Om du är misstänksam eller funderar över något särskilt kontakta säkerhetsavdelningen
100% säker går det att vara det? Ge mig verktygen att bli 100% säker. Hur svårt kan det va? Hoten byter skepnad och det dyker hela tiden upp nya hot - så nej, det går inte att vara helt säker på att du har en 100% skyddad IT-miljö. Genom att vara på din vakt, följa riktlinjer och råd blir du så säker som det nu går att vara!
En berättelse ur verkligheten Tjänsteresa till ett högriskland Krypterad kommunikation Upplevelser: Information som kommunicerats försvunnen Upplevelsen av att någon kommit över informationen och reagerat på dess innehåll Noterat attackförsök efter hemkomst
En berättelse ur verkligheten Teori: Vad var det som hände egentligen? Indicier ej bevis Dialog om anslutning till nätverket efter OK noterades att datorn eventuellt startades om Skadlig kod i form av en agent skjuts in på datorn Lokal informationshant. Krypterad kommunikation Krypterad tunnel
Rutiner för säker informationshantering (UFV 2018/668) Vad får jag göra med min information? Generella råd om säker informationshantering får du i våra Omfattning: 4.1 Information i IT-system och lagringslösningar 4.2 Användning av molntjänster 4.3 Övrig informationshantering 4.4 Regler för säker informationshantering Vad får jag göra med min information? De regler som presenteras under 4.4 tar sin utgångspunkt i resultatet från genomförd informationsklassificering
Molntjänster ett enkelt och smidigt sätt att komma åt informationen på resan men under vilka omständigheter kan sådana användas? Molntjänst ett vitt begrepp. Säkert eller ej det beror på! Användning av molntjänster ställer krav på dig som användare! Vilken typ av information? Vem äger, når eller får använda informationen du har i molnet? Sekretess och känsliga personuppgifter ska inte finnas i molnet Universitetets handlingar får inte förloras På vilket sätt ska tjänsten användas? Läst avtalet?
Informationsklassificering utgör grunden Klasser (skyddsnivåer/konsekvensvärden): I den nya modellen: 0, 1, 2 eller 3. Bedöms för var och en av nedanstående säkerhetsaspekter: Konfidentialitet: Riktighet: Tillgänglighet: Informationen ska inte göras tillgänglig eller avslöjas för obehöriga personer, system eller processer. Informationen ska inte förändras eller förstöras, varken obehörigen, av misstag eller pga. funktionsstörningar. Informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid. Informationen får ett KRT-värde, exempelvis 322 Konfidentialitet Riktighet Tillgänglighet
Stöddokument - Riskhantering,uppdaterad riktlinje Riskhantering, rutiner för informationssäkerhet, UFV 2018/211 Stöd vid genomförande av informationsklassificering och kravanalyser för bedömning och behandling av säkerhetsrisker Praktiskt och verksamhetsanpassat stöd för kontinuerlig riskhantering av universitetets informationsresurser
Råd för en god informationssäkerhet 1. Se till att din dator och dina mobila enheter hålls uppdaterade. Gamla programversioner som innehåller sårbarheter gör att din dator/dina mobila enheter kan utsättas för skadlig kod. 2. Var rädd om ditt lösenord! Universitetets riktlinjer för lösenordshantering ger god vägledning. 3. Var uppmärksam! Tänk efter innan du klickar på länken vet du vart den leder? 4. Se upp med social manipulation och nätfiske (s.k. phishing) där man försöker lura av dig personliga uppgifter, såsom lösenord, användarnamn, kontonummer eller koder. 5. Bedöm informationens känslighet innan du lagrar den i molnet. Molntjänster ska inte användas för lagring av känsliga personuppgifter eller sekretessbelagd information.
Råd för en god informationssäkerhet 6. Var noga med säkerhetskopiering! Ta reda på vad som gäller vid din institution beträffande säkerhetskopiering. 7. Installera bara de appar du behöver. Appar som inte uppfyller grundläggande säkerhetskrav gör dina mobila enheter sårbara. 8. Tänk på vad du skickar med e-post det är inte säkrare än ett vykort! 9. Tänk på hur du använder öppna publika wifi-nät. Dessa delas av många, en del med tveksamma avsikter. 10. Anslut inte USB-minnen du hittar på gatan eller får på mässor till din dator. De kan innehålla skadlig kod.
Sprid kunskap om resesäkerhet Ta del av och tipsa andra om vår nanolearning om resesäkerhet Du hittar den på våra sidor i Medarbetarportalen: https://mp.uu.se/web/info/stod/sakerhet/informationssakerhet
Ulrika Sundling 018-471 7839 Bo Hiding 018-471 7830 och så finns vi på plan 3 i Segerstedthuset