Informationssäkerhet är värdelöst utan kontext
Informationssäkerhet Tillgänglighet Riktighet Sekretess Spårbarhet
Tillgänglighet Min information är borta
Riktighet Hej, det är Lst. Jättestor kris i din kommun
Ska chefen se detta? Sekretess
Vem har gjort vad? Spårbarhet
Skydda det skyddsvärda
Lätt att göra rätt
Utmaningen
Syfte Volym Skyddsåtgärder
Vad ska skyddas Åtagande / Förmåga Resurser Risker
Åtagande / Förmåga Tillhandahålla god hälsosjukvård för personer inom särskilda boende (HSL) Tillhandahålla biståndshandläggning Tillhandahålla en trygg och säker miljö för barn inom förskoleverksamheten
Konsekvens för: Människa Miljö Egendom Staden/samhällets funktionalitet Människa Försumbar personskada Mindre allvarlig personskada Allvarlig personskada Bestående men/enstaka dödfall Flertalet dödsfall
A. > 1 vecka B. > 3 dagar 1 vecka C. > 1 dygn 3 dagar D. > 2 timmar 1 dygn E. < 2 timmar
Risk Orsak 1 Orsak 2 Orsak 3 Orsak 4 Konsekvens 1 Konsekvens 2 Konsekvens 3 Sannolikhet Konsekvens
K S
Alternativ och förmåga att möta störningar Åtagande: Omvårdnad på vård- och omsorgsboende Tillgänglighetskrav: 4h (innan oacceptabel skada på liv och hälsa) Kritiska aktiviteter 1 Medicinering 2 Hygienrutiner 3 Tillaga och servera måltider 4 Städning 4 tim. 6 tim. 6 tim. 8 tim. Interna resurser 1. Sjuksköterska 2 Handsprit 3 Kök 1 It-systemet X 3 tim. 3 tim. 5 tim. 3 tim. Externa resurser 1. Läkemedel 1,2,3. El 1, 2, 3, 4. Kollektivtrafik 1,2,3,4 Vatten 2 tim. 2 tim. 1 tim. 1 tim.
Alternativ och förmåga att möta störningar Åtagande: Omvårdnad på vård- och omsorgsboende Tillgänglighetskrav: 4h (innan oacceptabel skada på liv och hälsa) Kritiska aktiviteter 1 Medicinering 2 Hygienrutiner 3 Tillaga och servera måltider 4 Städning 4 tim. 6 tim. 6 tim. 8 tim. Interna resurser 1. Sjuksköterska 2 Handsprit 3 Kök 1 It-systemet X 3 tim. 3 tim. 5 tim. 3 tim. Externa resurser 1. Läkemedel 1,2,3. El 1, 2, 3, 4. Kollektivtrafik 1,2,3,4 Vatten 2 tim. 2 tim. 1 tim. 1 tim.
Alternativ och förmåga att möta störningar Åtagande: Omvårdnad på vård- och omsorgsboende Tillgänglighetskrav: 4h (innan oacceptabel skada på liv och hälsa) Kritiska aktiviteter 1 Medicinering 2 Hygienrutiner 3 Tillaga och servera måltider 4 Städning 4 tim. 6 tim. 6 tim. 8 tim. Interna resurser 1. Sjuksköterska 2 Handsprit 3 Kök 1 It-systemet X 3 tim. 3 tim. 5 tim. 3 tim. Externa resurser 1. Läkemedel 1,2,3. El 1, 2, 3, 4. Kollektivtrafik 1,2,3,4 Vatten 2 tim. 2 tim. 1 tim. 1 tim.
IT - InformationsTeknik
Verksamhet Teknik Säkerhet Informationssäkerhet IT-Säkerhet Data säkerhet
Säkerhet Kryptering Informationssäkerhet IT-Säkerhet Data säkerhet E-postkryptering Filkrypto Hårddiskkrypto Transmissionskrypto PKI Cetificate Autority (CA) Web of Trust (WoT) Simple PKI (SKPI) AES Keylength 128, 192, 256 bits Operationmode CBC, CFB, CTR, OFB: NIST SP 800-38A Operationmode GCM+GMAC: NIST SP 800-38D Operationmode (XTS-AES): NIST SP 800-38E
Varningar 2014-09-29
Tal 2014-09-29 Sida 24
Bildspråk 2014-09-29 Sida 25
Skriftspråk 2014-09-29 Sida 26
Fotografi 2014-09-29 Sida 27
Vilka krav ställer detta på oss? Sekretess Big data Sociala medier Tillgänglighet Mobilitet Moln Riktighet Spårbarhet Sida 28
Utan teknik Offentliga rummet Byggnaden Rummet H Handen 2014-09-29 Sida 29
Distanshot
Med teknik H Teknik möjliggör en avståndsökning Teknik och Människor har sårbarheter
Säkerhetsskydd Informationssäkerhet Tillträdesbegränsning Personsäkerhet SUA Administrativ säkerhet Teknisk säkerhet Organisation Regelverk Metoder IT-säkerhet Fysisk säkerhet ADB-säkerhet Kommunikationssäkerhet
Juridik Teknik Informationssäkerhet Säkerhet
Information TOP SECRET SECRE T STADSLEDNINGSKONTORET 2014-09-29 SIDAN 34
Hoten Illvilja Ovilja Slarv Okunnighet
Normal IT-miljö Vilken information finns på PDA eller smartphone Hot utpressning Var har dator varit? Vem/vilka använder datorn Riskfaktor barn Vilka använder den trådlösa överföringen Var kan/får/vill jag ansluta bärbar dator Nätverk? Vem levererar internet Var går kabeln INTERNET Möjligheternas plats
Hacking for fortune hacking for fame
De styggaste av de stygga 2014-09-29 SIDAN 38
Vad gör de? Kreditkortbedrägerier Barnpornografi Skadlig kod Underrättelsetjänst Traffiking Bedrägerier Utpressning Identitetsstölder Droger Utlåning 2014-09-29 SIDAN 39
2014-09-29 SIDAN 40
Luring 2 2014-09-29 SIDAN 41
Exempel 2 000 000 mail skickas 5% kommer fram (100 000) 5% klickar på bifogad länk (5 000) 2% skriver in kreditkortsnummer (100) Ett genomsnittsbedrägeri är 8000 kronor 100 personer * 8000 kronor= 800 000 kr 2014-09-29 SIDAN 42
Det går inte att visa bilden för tillfället. Logiska hot - Datorintrång (hackerns arbetssätt) Hitta / identifiera målet Kartlägg målet Social engineering Skaffa access till målet Applikations-/nätverks-/OS-hack Direkta nätverksattacker Öppna bakdörrar för framtida bruk Genomföra attacken/ uppnå syftet med attacken Sopa igen spåren och gömma sig MÅL MEDEL METOD 2014-09-29 SIDAN 43
Om jag kan få dig att köra mitt program på din dator är det inte din dator längre
Hur Bifogad fil Bifogad länk Besök på vissa siter på internet (Iframing) Lura dig Lägga usb i receptionen Ge bort ett program Använda fulkopierade program Ta kontroll över din dator genom att utnyttja sårbarheter
4. Nedladdare 3. Omstyrning 2. Hackad server 1. Besök på Aftonbladet.se 5. Omstyrning Till andra servrar som installerar andra hot
SIDAN 48 2014-09-29 STADSLEDNINGSKONTORET
Elak kod 2009 hade Symantec närmare 3 miljoner signaturer för elak kod 57% infekterade bara en enda dator. 2012 by the numbers: Kaspersky Lab now detects 200,000 new malicious programs every day
Lek med siffror 200.000 per dag 8333 per timme 138 per minut 2,3 per sekund... Law #8: An out of date virus scanner is only marginally better than no virus scanner at all
Aktuella hot/händelser Distribuerad överbelastningsattack (Ddos) I går DNS I dag NTP (400Gbps) I morgon SNMP (x650) 2014-09-29 SIDAN 51
Heartbleed Minne Heartbeat Dator Paket Server Paket 2014-09-29 SIDAN 52
Blackshades Symantec, FBI, Interpol, mfl Över 100 personer gripna Svensk kodskrivare (bosatt i länet) 2014-09-29 Sida 53
Hur ska ni skydda era organisationer eller företag. Klassificera informationen Implementera kraven
Informationsklassificering Lagen Verksamheten Administration Teknik
Offentlighets- och sekretesslagen (2009:400) 1 kap, 1 Denna lag innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar. Lagen innehåller vidare bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Dessa bestämmelser avser förbud att röja uppgift, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt.
Patientdatalag (2008:355) 8 kap 5 En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.
Informationsklassificering Definiera kraven Åtkomstbegränsning Tillgänglighet Riktighet Spårbarhet HÖG HÖG HÖG HÖG Medel Medel Medel Medel Låg Låg Låg Låg Säkerhetsprofil Å T R S
IT STADSLEDNINGSKONTORET 2014-09-29 SIDAN 59
Riktlinje för Informationssäkerhet SS-ISO/IEC 27002:2005 1.INNEHÅLLSFÖRTECKNING 2.Inledning och omfattning 3.Definitioner 4.Riskbedömning och riskbehandling 5.Säkerhetsprogram 6.Organisation av informationssäkerheten 7.Hantering av tillgångar 8.Personal och säkerhet 9.Fysisk och miljörelaterad säkerhet 10.Styrning av kommunikation och drift 11.Styrning av åtkomst 12.Systemutveckling/-inköp och systemunderhåll 13.Hantering av informationssäkerhets Incidenter 14.Kontinuitets- och avbrottsplanering 15.Efterlevnad STADSLEDNINGSKONTORET 2014-09-29 SIDAN 60
Riktlinje för informationssäkerhet 7.2 Klassificering av information Alla stadens informationstillgångar ska vara klassificerade. Informationstillgångarna ska klassificeras (värderas) så att rätt skyddsnivå kan fastställas. Klassificering ska ske tidigt i samband med systemutveckling/-inköp men även i förvaltningsskedet. Klassificeringen utgår från faktorerna Åtkomstbegränsning, Riktighet, Tillgänglighet och Spårbarhet. Stadens fastställda metod för informationsklassificering ska användas. 7.2.1 Anvisningar för informationsklassificering 7.2.1.1-1 Informationstillgångarna ska klassificeras för att säkerställa att de ges ett tillräckligt skydd. Förutom lagliga krav på skydd ska verksamhetens bedömning av informationens värde avseende åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet avgöra omfattningen av det skydd som ska uppnås. 7.2.1.1-2 Informationsklassificering ska ske enligt Handbok för Informationsklassificering. STADSLEDNINGSKONTORET 2014-09-29 SIDAN 61
STADSLEDNINGSKONTORET 2014-09-29 SIDAN 62
Systemskiss E-tjänst Baskart a Fråga Fastighet s register
Legala krav Pos Lag Tillämpbar (J/N) L1 Tryckfrihetsförordningen (SFS 1976:954) Uppfylld (J/N) Kommentar L2 Offentlighets- och Sekretesslagen (SFS 2009:400) Anteckna tillämpliga paragrafer här L3 Arkivlagen (SFS 1990:782) L4 Personuppgiftslagen, PUL (SFS 1998:204) OBS Även punkt 2.2.1 nedan skall fyllas i om PUL är tillämpbar L5 Upphovsrättslagen (SFS 1960:729) Anteckna vilken slags information som avses L6 L7 L8 Lagen om kommunal redovisning/bokföringslagen (SFS 1999:1078) Lagen om skydd för landskapsinformation Lag om skydd för företagshemligheter (SFS 1990:409) L9 Säkerhetsskyddslagen (SFS 1996:627) L10
Personuppgifter Personuppgifter i IT-system Ändamål med behandlingen Kategorier/grupper av personer som berörs av behandlingen Personuppgifter eller kategorier/grupper av personuppgifter som skall behandlas Mottagare till vilka uppgifterna kan komma att lämnas ut Åtgärder som har vidtagits för att trygga säkerheten i behandlingen Kommer uppgifterna att överföras till tredje land? STADSLEDNINGSKONTORET 2014-09-29 SIDAN 65
3 2 1 Åtkomstbegränsning IT-systemet innehåller information som vid oönskad spridning endast medför ringa eller ingen skada. IT-systemet innehåller enbart allmän offentlig information. Med skada avses badwill, ekonomisk skada, men eller annan skada för staden eller intressent. I begreppet intressent innefattas personalen, kommuninnevånare, tredje man etc. IT-systemet innehåller sådan information som, om den kommer i orätta händer, kan medföra skada. Generellt tillämpligt: IT-system med känsliga personuppgifter enligt PUL Information som kan bli föremål för sekretess enligt SekrL övriga paragrafer. Information avsedd för egen personal. IT-systemet innehåller sådan information som, om den kommer i orätta händer, kan medföra allvarlig skada. Generellt tillämpligt: 1. IT-system med information som kan bli föremål för sekretess enl. OSL 7 kap 3 15 kap 1-2, 18 kap1-4, 8-10, 12 19 kap 3, 21 kap 1, 2,3,4, 7 23 kap 2-5 25 kap 1-6, 8, 10-11, 13-14 26 kap 1-8, 10 31 kap 16-19 2. IT-system med information som påverkas av lagkrav hänförbara till visst verksamhetsområde t ex patientjournallag STADSLEDNINGSKONTORET 2014-09-29 SIDAN 66
Riktighet 3 2 1 Riktighet Oriktig information medför endast ringa eller ingen skada. Data kan accepteras mer eller mindre utan kontroll. Oriktig information kan medföra skada. Generellt tillämpligt: IT-system som omfattas av lagrum där riktighetskrav anges (t ex. PUL). IT-system som ingår i myndighetsutövning. Information där krav på spårbarhet eller oavvislighet föreligger. Med innebörden att utförande av en specifik handling inte i efterhand skall kunna förnekas av utföraren. Oriktig information kan medföra allvarlig skada. Mycket strikt kontroll av i princip all data. Generellt tillämpligt: IT-system med särskilt höga krav på riktighet (t ex affärssystem). IT-system där hantering av information styrs av specifika lagparagrafer, t.ex. känsliga personuppgifter (pers. ansvar). IT-system för kritiska processer i verksamheten STADSLEDNINGSKONTORET 2014-09-29 SIDAN 67
Tillgänglighet Tillgänglighet 3 Avbrott medför endast ringa eller ingen skada. IT-system där verksamhetsberoendet är lågt. 2 IT-system som ingår i eller stöder verksamhet där avbrott kan medföra skada. Generellt tillämpligt: IT-system som ingår i eller utgör stöd för myndighetsutövning och/eller kärnverksamhet. 1 Avbrott kan medföra allvarlig skada. IT-system som ingår i eller stöder verksamhet där avbrott innebär att man inte kan upprätthålla nödvändig tillgänglighet och servicenivå i produktionen med alternativa metoder och procedurer. Generellt tillämpligt: För verksamheten mycket kritiska IT-system. STADSLEDNINGSKONTORET 2014-09-29 SIDAN 68
Spårbarhet Spårbarhet 3 Avsaknad av möjlighet att följa upp olika händelser medför endast ringa eller ingen skada. Inga behov av spårbarhet. 2 Avsaknad av möjlighet att följa upp specificerade händelser kan medföra skada. Spårbarhetskrav på vissa specificerade händelser i systemet och vem som skapat vad och när. 1 Avsaknad av möjlighet att följa upp specificerade händelser kan medföra allvarlig skada. Stora krav på att entydigt kunna följa vem som gjort vad, när detta skett och liknande relaterat till revisionskrav och/eller lagar och förordningar. STADSLEDNINGSKONTORET 2014-09-29 SIDAN 69
Kravkatalog Pos Nivå 3 Sp 301 Sp 302 Nivå 2 Sp 201 Sp 202 Sp 203 Sp 204 Nivå 1 Sp 101 Sp 102 Kravtext Driftlogg ska vara påslagen och med specificerade parametrar. (Används för uppföljning av funktionshändelser.) System/e-tjänst som lagrar ekonomiska transaktioner: Ekonomiska transaktioner ska kunna spåras. Säkerhetslogg ska vara påslagen och med specificerade parametrar. (Ska innehålla tid för in-/utloggning, anv-id och datum.) Projektledare/objektansvarigrepr. ska fastställa vilka händelser utöver inloggning och utloggning som ska ingå i säkerhetsloggen. (Ex.vis obehöriga åtkomstförsök till resurser (nätverk, information mm). Anvisningar ska finnas för hur systemets/e-tjänstens loggar övervakas och följs upp. (Objektansvarigrepr. formulerar kraven) Tillträde (fysiskt) till utrymme där känslig information hanteras (servrar) ska kunna loggas. Kopiering av information får ej ske utan att spårbarhet kan garanteras. Finns revisionskrav ska systemet/e-tjänsten kunna generera begärd information. STADSLEDNINGSKONTORET 2014-09-29 SIDAN 70
Tekniskt kravkatalog (Åtkomstbegränsning) Nivå 3 Pos Kravtext Uppfyllt V2.1 Verify that all pages and resources require authentication except those specifically intended to be public. Nivå 2 Pos Kravtext Uppfyllt V2.4 Verify that all authentication controls are enforced on the server side. V2.5 Verify that all authentication controls (including libraries that call external authentication services) have a centralized implementation. Nivå 1 Pos Kravtext Uppfyllt V2.15 Verify that all code implementing or using authentication controls is not affected by any malicious code. V3.4 Verify that sessions timeout after an administratively-configurable maximum time period regardless of activity (an absolute timeout). STADSLEDNINGSKONTORET 2014-09-29 SIDAN 71
Hur ska ni skydda er som privatpersoner? Ta kopia (back-up) Uppdatera Operativsystem Program Antivirusprogram
Björn Gustafson Informationssäkerhetschef Stadsledningskontoret. Säkerhetsenheten Ragnar Östbergsplan 1 105 35 Stockholm Telefon: +46 8-508 29 355 E-post: bjorn.gustafson@stockholm.se www.stockholm.se 2014-09-29 73