Erfarenheter från att vara utsatt för ett allvarligt intrång i it-miljön tips och trick i hanteringen

Relevanta dokument
Polisens incidenthantering

Tack till våra sponsorer!

Regler och instruktioner för verksamheten

Chef för it-drift och infrastrukturförvaltning, ITavdelningen

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Myndigheten för samhällsskydd och beredskaps författningssamling

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Policy för informationssäkerhet

Hantering av IT-brottsutredningar

IT-Säkerhetsinstruktion: Förvaltning

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Chef för leverans och support, IT-avdelningen

Bilaga 3 Säkerhet Dnr: /

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson

Erfarenheter från IRTverksamhet. Einar Hillbom UMDAC Umeå Universitet

Chef för it-säkerhet, IT-avdelningen

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Välkommen till enkäten!

Chef för utveckling och förvaltning, IT-avdelningen

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ånge kommun

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Att hantera överbelastningsattacker 1

Informationssäkerhetspolicy

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Handledning i informationssäkerhet Version 2.0

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Informationssäkerhetsanvisningar Förvaltning

Strategi Program Plan Policy» Riktlinjer Regler

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet IT-strategigruppen

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Chef för förändringsledning och införande, ITavdelningen

Krisledningsplan. Inför och vid särskilda och extraordinära händelser. Socialförvaltningen. Diarienummer: Krisledningsplan

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

ISA Informationssäkerhetsavdelningen

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Bilaga 1 - Handledning i informationssäkerhet

Säkerhet i fokus. Säkerhet i fokus

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Sjunet standardregelverk för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetspolicy för Ystads kommun F 17:01

Administrativ säkerhet

Regler för användning av Riksbankens ITresurser

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Service management Samverkan och rapportering

Säkerhet i industriella informations- och styrsystem

Säkerhet i fokus. Säkerhet i fokus

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar

Informationssäkerhetspolicy. Linköpings kommun

Handlingsplan mot hot, hat och våld mot förtroendevalda

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Policy för informationssäkerhet

Informationssäkerhetspolicy för Vetlanda kommun

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Bilaga Från standard till komponent

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

IT-verksamheten, organisation och styrning

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Rätt säkerhet Kris

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för kris- och kontinuitetshantering

IT-säkerhetsinstruktion Förvaltning

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Rikspolisstyrelsens författningssamling

Informationssäkerhetspolicy för Umeå universitet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

POLICY INFORMATIONSSÄKERHET

Riktlinjer för kris- och kontinuitetshantering

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Granskning av räddningstjänstens ITverksamhet

Policy och strategi för informationssäkerhet

Finansinspektionens författningssamling

Transkript:

Erfarenheter från att vara utsatt för ett allvarligt intrång i it-miljön tips och trick i hanteringen, Jan-Olof Andersson, Polismyndigheten 1

Upplägg Tre händelser Tips kring hantering Allmänt om incidenthantering Sammanfattning 2

Tre händelser för att sätta ramen Tre händelser som beskriver: Skadlig kod Dåliga rutiner och tillit till andra Intrång i it-miljö Kodnamn Medialt och internt kända fall 3

ADA 2013 Information från CERT-SE om att Polisens nät genererade trafik från s.k. trojaner. Surf nätet konstaterades innehålla minst 8 smittade datorer med s.k. Remote Control trojaner, minst en PC ingick i ett s.k. Botnet. Det kan konstateras att: Polisens datorer och verksamhet som används på röda nätet har utsatts för brott. Polisens it- miljö har gett en annan part förutsättningar att begå brott. Polisens datorer har använts för att medverka till att andra personer och organisationers verksamhet utsatts för brott. Skadekostnad okänd men uppgår till flera miljoner. Trojaner kan användas för att: Läsa och kopiera information som finns på datorn eller som skickas till och från datorn. Avlyssna omgivningen genom datorns mikrofon, ta bilder med datorns kamera och ta bilder av de programfönster som är öppna Dolt fjärrstyra datorn från okänd plats och land Sprida sig eller sabotera och utföra intrång mot andra datorer inom Polisen eller datorer på Internet 4

Fotostationer 2012 Vid uppdatering av fotostationerna för passystemet använde Polisens externa leverantör USB-minnen. Via dessa minnen smittades fotostationerna med skadlig kod. Kostnad för utredning och hantering beräknas av verksamhetsskyddsenheten till ca 1.5 miljoner kr Josef Pelle är passhandläggare i City polismästardistrikt. Foto: Jimmy Gustafsson 5

Morgan 2012 I mars 2012 hade en extern leverantör intrång i sitt it- system. Leverantören tillhandahåller it-lösning som Polisens tjänsteleverantör använder. En stor mängd data, bland annat personuppgifter, skyddade personuppgifter och annan känslig information, kopierades av gärningsmannen. Metro 13-05-20 Det finns inget som tyder på att personuppgifter förändrats även om detta var möjligt för gärningsmannen att göra. Skadekostnad? 6

TIPS & TRICKS 7

Ni måste vara förberedda före det händer! 8

Informationssäkerhetsprocessen Mål: Verksamhetens information ska värderas, skyddas och finnas tillgänglig för den som är behörig när den behövs. Input Output Krav och förväntningar Verksamheten kan utföras utan att allvarliga störningar inträffar och uppkommer sådana ska de kunna hanteras. 9

Har organisationen någon process att arbeta efter? Input Ha koll Styra och samordna Skydda Hantera händelser Output Krav och förväntningar Skapar säkerhetskultur Verksamheten kan utföras utan att allvarliga störningar inträffar och uppkommer sådana ska de kunna hanteras. 10

Delprocessernas underprocesser Ha koll Styra och samordna Skydda Hantera händelser Identifiera risker Omvärldsanalys Samverkan Dimensionerande hotbild Säkerhetsanalys Gemensam lägesbild/lägesuppfattning Riskhantering Planering/budget Resurssäkring Uppföljning Granskningar/kontroller Mätning Utbildningsplanering Ledningens genomgång Kompetensanalys Kommunikation Ärendehantering Utveckling/Metodutveckling Upprätta säkerhetsplan Framtagande av regler Framtagande och införande av säkerhetsåtgärder Kontroll av nivån Övervakning/mätning Stöd/rådgivning Information/utbildning Avvikelsehantering SUA Kontinuitetsplanering Säkerhets- och skyddssamtal Säkerhetsprövning Incidenthantering Krishantering 11

Händelse Gemensam lägesbild vad har hänt? vad vet vi? vad vill vi veta? vem vet det vi veta? när måste vi veta? Team för åtgärder Dela in roller: Leda, Dokumentera, Samverkan, Kommunikation, Specialister för hantering plattform, nätverk, it-säkerhet, Stöd (mat, övernattning) Polisiär stab: 1. Personaltjänst 2. Underrättelser 3. Operativ samordning 4. Logistik 5. Planering och strategisk insatsanalys 6. Tekniska ledningssystem 7. Kommunikation 8. Ekonomi och juridik 9. Samverkan 12

Händelse fortsättning Polisanmälan Är det ett brott eller tekniskt fel? Polisanmälan (Tvättad incidentrapport) Skriv en bilaga med detaljer Finns mer information att tillgå som kan vara av värde för fortsatt utredning (ex loggar, inspelad servertrafik, mailkonton etc.). Utse kontaktperson i verksamhet Rapportera till MSB Är det en händelse som omfattas av förskriften? Media hantering Förhållningssätt Förbered för det värsta It-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten 13

Händelse fortsättning Arbetssätt Alla ska veta läget hela tiden Dokumentation/loggning (denna bör uppdateras 3 ggr/dygn) 1. Händelsebeskrivning 2. Omfattning 3. Vidtagna åtgärder 4. Huvudansvarig och aktörer inom verksamheten 5. Övriga aktörer 6. Resursinformation 7. Utveckling/omfall 8. Konsekvenser 9. Planerade åtgärder/inriktning/prioritering/behov av resurser och beslut 10. Hur/var fås ytterligare information 11. Samverkanbehov 12. Övriga/egna synpunkter 13. Mediabild Uthållighet (gå i skift) Teknik för att dela information, krypterade kommunikationskanaler 14

Händelse fortsättning Kommunikation med ledning Vad vill jag de ska känna, veta och göra? Hur ska man löpande hålla dem informerade? Eskalering var beredd på det värsta Detta beror ofta på skadan. Formellt och informellt 15

Hotbildsanalys eller beskrivning av en händelse Verksamheten Vem hotar? Syfte Aktivitet Metod När/var Mot vilket objekt/ resurs Skada Utomstående 16

Incidenthanteringprocessen 17

Steg i hantering av incidenter Planera och förbereda organisation, process, rapporteringsvägar m.m. Identifiera och rapportera vem och hur Ta emot, klassificera och analysera utred och bedöm skadan, orsaken, prioritera Hantera kommunicera, begränsa, återställ Stäng och återkoppla dokumentera, informera, bevaka Utvärdera/Lärdom vad gick bra och vad gick fel, utred orsaken statistik (typ, volym, kostnad) CERT-SE 18

Översikt tre olika incidenttyper IT-incident Definition: Avvikelse från normal IT-drift. En IT-incident kan eskalera till en IT-säkerhetsincident och/eller verksamhetsskyddsincident. Omfattning: Polisens IT-miljö (IT-system/applikationer, fast/mobil telefoni, nätverk) Anmälan av incident: Via Webbanmälan i ARS på Intrapolis eller Servicedesk 020-666 999 Verktyg: ARS Ansvar: IT-drift och infrastrukturförvaltning och/eller Utveckling och applikationsförvaltning IT-säkerhetsincident Definition: IT-relaterad händelse som hotar Polisens it-system och information. En IT-säkerhetsincident kan bli så allvarlig att den eskalerar till en verksamhetsskyddsincident. Omfattning: Polisens IT-miljö: IT-system/applikationer, fast/mobil telefoni, nätverk. Anmälan av incident: Via ARS eller e-post till cert.rps@polisen.se Verktyg: ARS och POINT Ansvar: IT-säkerhet (CERT-funktionen) Verksamhetsskyddsincident Definition: Incident som påverkar säkerheten för information, medarbetare, utrustning eller lokaler på ett negativt sätt. Omfattning: Informationssäkerhet, egendomsskydd, medarbetarskydd inom Polisen. Anmälan av incident: Via Webbanmälan i POINT på Intrapolis Verktyg: POINT Ansvar: RPC kansli för nationella avdelningar eller Region kansli för regionerna. Ska ses som exempel! 19

Hantering av incidenter hos Polisen 1. Rapportera / felanmäl 2. Registrera Medarbetare - Felanmälan/ Incidentanmälan System / Säkerhetsövervakning - Incidentanmälan Rapporteringsalternativ: Webb-anmälan via Intrapolis Servicedesk telefon:020-666 999 IT-säkerhet (CERT-funktionen) för IT-säkerhetsincident Registrering i ARS Registrering i ARS och POINT Registrering i POINT 3. Besluta om åtgärd 4. Stoppa/ begränsa Roller/grupper- incidenthantering Incident Manager, Driftchef, Beredskapshavande IT-chef, CERT-funktionen, RPC kansli Linje 2: IT- Servicegrupp, Linje 3: Drift, Applikationsförvaltning, Leverantör 5. Felsök/ utred Drift, Förvaltning, CERTfunktionen, Säklogg, RPC kansli 6. Åtgärda/ återställ/ återkoppla Linje 2: IT-Servicegrupp, Linje 3: Drift, Applikationsförvaltning, Leverantör 7. Följ upp/ dra lärdomar CERTfunktionen, RPC kansli Hantering av IT- Incident Hantering av IT-säkerhetsincident Hantering av verksamhetsskyddsincident Ska ses som exempel! 20

Polisens eskaleringsvägar och nivåer vid incidenter Ska ses som exempel! 21

Glöm inte bort - Lärdomar Förbättra förmågan att förhindra liknande incidenter i framtiden Förberett enkätverktyg i förväg Uppföljningsmöten så snart som möjligt Genomgång Vad gick bra, vad gick fel Orsaken till incidenten Finns det behov av justeringar? Utrustning, ekonomi, personal, kommunikation Återkoppla på alla nivåer 22

Sammanfattning Det är inte om utan när och hur hårt ni blir träffade! Var förberedd för att kunna hantera händelsen Var beredd på att det är inte det ni tror som kommer att inträffa Omge dig med rätt medarbetare eller konsulter Lär dig av det som inträffat och kommunicera Utgå från standarder: SS-ISO/IEC 27001:2013 Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Krav SS-ISO/IEC 27002:2013 Informationsteknik Säkerhetstekniker Riktlinjer för informationssäkerhetsåtgärder SS-ISO/IEC 27035:2011Informationsteknik Säkerhetstekniker Styrning och hantering av informationssäkerhetsincidenter del 1-3 23

Frågor Förr i tiden hade vi Himmel och Helvete. Nu har en ny värld skapats däremellan - Cyberspace! Lars Nylén, tidigare chef för Rikskriminalen För kontakt: jan-olof.andersson@polisen.se 24

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss