Johan Thulin Technology Officer; Cyber Security IT-FORUM 2018 EFFEKTIV SÄKERHET
Cybersäkerhet
Nationell strategi för samhällets informations- och cybersäkerhet Skr. 2016/17:213 Gartner: "Senior Business Executives Are Finally Aware That Cybersecurity Has a Significant Impact on the Ability to Achieve Business Goals and Protect the Corporate Reputation
WORLD`S LARGEST Media company Merchant Software vendor Taxi company Owns no content! Owns no inventory! Doesn t write most apps! Owns no cars! Hotel chain Phone company Movie house Owns no property! Owns no infrastructure! Owns no theaters!
Operativ Teknik OT IT Informations Teknik Specialskrivna applikationer Styr en fysisk enhet Sak centrerad Silobaserad arkitektur Realtid + undvik personskador Stöttar fysiskt värdeskapande Standardiserade applikationer Styr informationsobjekt Människa centrerad Öppen arkitektur Ej Realtid + Undvik dataförlust Stöttar organisations processer
DIGITALISERING? Gartner: Digitalization is the use of digital technologies to change a business model and provide new revenue and value-producing opportunities; it is the process of moving to a digital business. Varför just nu? 1. Hög mognad angående användande av digitala lösningar. 2. Snabbare och billigare nätverk, tex 3G 5G 3. Fortsatt snabb utveckling av processorkraft
5 STEG FÖR DIGITAL TRANSFORMATION: MYNDIGHETS EKOSYSTEM Tillvals system AFFÄRS EKOSYSTEM Eftermarknad INFRA- STRUKTUR EKOSYSTEM Operatör INDUSTRI EKOSYSTEM 1 PRODUKTER 2 Smartare produkter 3 Uppkopplade produkter 4 Industriella ekosystem 5 Sammankopplade ekosysystem Produktutveckling Tjänsteutveckling
Så vad är problemet?
ATTACK MOT ELNÄTET I UKRAINA Attacken skedde 23 December 2015 och anses vara den första framgångsrika cyberattacken mot ett elnät. 30 Understationer stängdes av och ungefär 230.000 människor var utan el i 1-6 timmar. Källa: Cyberattacks to Ukraine Power Grid 2018-03-06 Jianguo Ding, Skövde universitet, Elvira projektet
HÄNDELSEFÖRLOPP Källa: Whitehead, David E., et al. "Ukraine cyber-induced power outage: Analysis and practical mitigation strategies." Protective Relay Engineers (CPRE), 2017 70th Annual Conference for. IEEE, 2017.
NOTPETYA Eternal Blue En sårbarhet framtagen av NSA släpptes 14:e april 2017 av gruppen Shadow Brokers Microsoft släppte redan 14:e Mars en patch (Security bulletin MS17-010) 12:e maj användes sårbarheten första gången av WannaCry 27:e juni användes sårbarheten av NotPetya Effekt (ett urval) Maersk 250-300 miljoner USD i förluster Under 10 dagar: 4000 servers, 45000 PCs & 2500 applikationer byggdes om. 20% produktionsbortfall Merck 300 miljoner USD i förluster FedEx 300 miljoner USD i förluster
??????
COMPLIANCE
?? A vulnerability in the Open Systems Gateway initiative (OSGi) interface of Cisco Policy Suite could allow an unauthenticated, remote attacker to directly connect to the OSGi interface.?? The scope has at least three conflicting definitions. We identified three formal documents that define the scope of the ISMS (ISMS 4.3, A.8.1.1, ISMS Program Structure)??
HUR GÖR MAN EN HOT- OCH RISKANALYS? Beskriv förutsättningarna Definiera analysobjekt Identifiera hot Beskriv/ modellera riskerna Värdera Åtgärdsförslag Ta fram åtgärdsförslag Värdera riskerna
FÖRUTSÄTTNINGAR Konsekvens Organisationens uppdrag: Det värde som organisationen tillhandahåller Exempelvis hantera vårddata för att möjliggöra effektiv vård Organisationens målsättning: Organisationens eget syfte Exempelvis att tjäna pengar Organisationens ansvar: Den skada som kan uppkomma för andra Sannolikhet Riskaptit Exempelvis skada som kan uppkomma om patientdata kommer ut eller blir otillgänglig
SÅRBARHETER HÅRDVARA Bristfälligt Underhåll Portabilitet MJUKVARA Inga registreringsloggar Komplicerade gränssnitt NÄTVERK Brist på kryptering vid överföringar Enda åtkomstpunkt PERSONLIGT Bristfällig träning Brist på övervakning PLATS Ohållbart elektriskt system Kontor i område känsligt för övervämningar ORGANISATION Bristande ansvarsfördelning Inga arbetsbeskrivningar
SÅRBARHETER OCH HOT Tillgång Sårbarhet Hot Obevakat lager Stöld av utrustning Hårdvara fuktkänslighet Korrosion Mjukvara Nätverk Personligt Plats Organisation Brist på verifieringskedjan Komplicerat användargränssnitt Oskyddad kommunikationslinje Oskyddad lösenordsöverföring Otillräcklig träning Brist på övervakning Kontor i område känsligt för översvämning Ohållbart elektriskt system Ingen godkännandeprocess för nyttjanderätt Ingen dokumenthanteringsprocess Oupptäckt missbruk av rättigheter Fel i användningen Avlyssning Hackers Misstag Stöld av utrustning, misstag Översvämning Strömavbrott Missbruk av privilegier Datakorruption
VÄRDERING: BELASTNINGSATTACK Exempel Vi utsätts för en belastningsattack och vi måste vidta åtgärder för att upprätthålla tillgänglighet. Konsekvens Organisationens uppdrag: 1: Patientdata är fortfarande tillgänglig (med det går lite segt). Organisationens målsättning: 2: Åtgärderna kostar oss pengar Organisationens ansvar: 2: Användarna blir oroliga men utsätts egentligen inte för någon risk
VART SKALL MAN BÖRJA? 20 Prioriterade kontroller, uppdelade i tre kategorier Baskontroller (1-6): Kontroller som bör implementeras först i alla organisationer för en grundläggande förmåga att upprätthålla cybersäkerhet Grundläggande (7-16): Tekniska best practices som ger tydliga säkerhetsfördelar och är bra för organisationer att implementera Administrativa (17-20): Kontroller mer inriktade på människor och processer för att upprätthålla cybersäkerhet
BASKONTROLLER 1. Inventera och kontrollera hårdvara 2. Inventera och kontrollera mjukvara 3. Kontinuerlig sårbarhetshantering 4. Reglera användandet av administrative rättigheter 5. Säker konfiguration av mobila enheter, bärbara, arbetsstationer och servers 6. Upprätta, övervaka och analysera säkerhetsloggar
GRUNDLÄGGANDE KONTROLLER 7. Skydd av Email och web klienter 8. Skydd mot skadlig kod 9. Kontrollera och begränsa öppna porter och tjänster samt protokoll 10.Backup, återställningsförmåga 11.Säker konfigurering av nätverksenheter som tex brandväggar, routers och switchar
GRUNDLÄGGANDE KONTROLLER 12. Perimeterskydd 13.Dataskydd 14.Begränsa åtkomst enligt minsta behörighets principen 15.Kontroll av access till trådlösa nätverk 16.Kontroll över och monitorering av användare och konton
ADMINISTRATIVA KONTROLLER 17. Säkerhets medvetenhet och kompetensutveckling 18.Applikations och mjukvaru -säkerhet 19.Incidenthantering 20.Penetrationstester och red team övningar
SAMMANFATTNING Höja medvetenheten om behovet genom att förstå och sprida medvetenhet om hotbilden Det går inte att uppnå 100% säkerhet, fokusera på de faktiska riskerna Det finns mycket hjälp att få, tex https://www.cisecurity.org eller https://www.informationssakerhet.se
Johan.thulin@combitech.se