Hot + Svaghet + Sårbarhet = Hotbild



Relevanta dokument
Datasäkerhet och integritet. Juridiska frågor

Sammanfattning av riktlinjer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

FÖRHINDRA DATORINTRÅNG!

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhet

IT-Säkerhetsinstruktion: Förvaltning

Policy för användande av IT

IT-säkerhetspolicy för Landstinget Sörmland

Frågor och svar om ArcGIS Pro Licensiering

Informationssäkerhet, Linköpings kommun

Riskanalys och informationssäkerhet 7,5 hp

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

ANVÄNDARVILLKOR ILLUSIONEN

IT policy för elever vid

2.3 För att ditt medlemskap skall beviljas måste du vara över 18 år och vara registrerad kund på Webbplatsen

Denna Sekretesspolicy gäller endast för webbsidor som direkt länkar till denna policy när du klickar på "Sekretesspolicy" längst ner på webbsidorna.

Handledning i informationssäkerhet Version 2.0

Regler för användning av Riksbankens ITresurser

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkerhetspolicy för Västerviks kommunkoncern

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Enkät Frågor om projektarbete. Frågor om hot och våld. Framtagen av projektgruppen Bättre beredd än rädd. Mars 2012

Datasäkerhet och integritet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

IT-säkerhetsinstruktion Förvaltning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Data Sheet - Secure Remote Access

Jämtlands Gymnasieförbund

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Kapitel 8 Personalresurser och säkerhet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Kommunens författningssamling

Informationssäkerhetspolicy IT (0:0:0)

Dnr 2007/83 PS 004. Riktlinjer för elevernas IT användning i proaros skolverksamhet

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Policy för säkerhetsarbetet i. Södertälje kommun

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Informations- säkerhet

Vad säger lagen om cookies och andra frågor och svar

Säker IP telefoni? Hakan Nohre, CISSP

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Hur gör man ett trådlöst nätverk säkert?

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Grattis till ett bra köp!

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Frågor och svar om ombudsfunktionen

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Analyser. Verktyg för att avgöra vilka skydd som behövs

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Internetsäkerhet. banktjänster. September 2007

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Lösenordsregelverk för Karolinska Institutet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

KOMMUNALA STYRDOKUMENT

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Rekryteringsmyndighetens interna bestämmelser

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Skolorna visar brister i att hantera personuppgifter

Administrativ säkerhet

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

1(8) Policy mot muta och bestickning. Styrdokument

IT-riktlinjer Nationell information

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

Enkätundersökning IT-pedagoger 2010/11, 2011/12, 2012/13

Riskanalys och riskhantering

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Nulägesanalys. System. Bolag AB

Datasäkerhetsmetoder, sista träffen. Lite återkoppling på utkasten

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Syfte...1 Omfattning...1 Beskrivning...1

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Utbildningsförvaltningen. Spånga gymnasium 7-9 [117]

Läs denna sekretesspolicy innan du använder AbbVies webbplatser, eller skickar personlig information till oss.

Våld och hot på jobbet. kartlägg riskerna

Informationssäkerhet - en översikt. Louise Yngström, DSV

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

IT-säkerhet Internt intrångstest

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Låneavtal för personlig elevdator

ANVÄNDARHANDBOK. Advance Online

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

F-Secure Anti-Virus for Mac 2015

Nyanställd som course manager, banchef, En manual för att komma rätt!

WHAT IF. December 2013

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Cartamundi Sekretesspolicy

Rekryteringsmyndighetens riktlinjer

Transkript:

4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild. För att åskådliggöra det ytterligare kan du se ett exempel i bild 4.1. IT-resurs SVAGHET SVAGHET SÅRBARHET BILD Bild 4.1: Yttre hot och svagheter skapar en sårbarhet.

44 Handbok i IT-säkerhet Det här är en klar förenkling av tillvaron, men det illustrerar begreppet hotbild på ett tydligt sätt. När du försöker skapa dig ett begrepp om en hotbild måste du väga in de olika komponenterna. Första frågan är om ett hot föreligger. Finns ett tydligt hot gäller det att identifiera vad det utgörs av och hur det kan realiseras. Förekommer inget tydligt hot går du vidare och granskar ifall ditt IT-system har några svagheter. För att ge dig en fingervisning om potentiella svagheter att granska väljer jag att göra en lista med exempel: Finns en god autentiseringsfunktion? Var och hur lagras användardata (user credentials)? Krävs separat klientprogram? Vilka nätverksprotokoll används? Krypteras användardata mellan klient och server? Delas resurser via NFS eller NetBEUI? Används förbestämda administratörskonton i server och databashanterare? Förekommer kända bakdörrar? Om inte, vilka portar kommunicerar de olika protokollen över? Vilka portar måste öppnas i brandväggen för att inte tappa funktionalitet? Kan sessionsdata fångas på nätverket? Det här är enbart ett axplock av de frågor som du måste ställa för att få en bild om en svaghet föreligger. Hittar du någon eller några svagheter uppstår plötsligt ett potentiellt hot. Kombinationen av hot och svaghet ger dig ett begrepp om sårbarheten i ditt IT-system. Tillsammans ger dig dessa tre parametrar en tydlig hotbild. Att få fram information om ett systems svagheter kräver en hel del kunskap för att kunna ställa rätt frågor. Dessutom krävs expertkompetens för att tolka svaren på frågorna. Vilka typer av hot pratar vi om? I din dagliga tillvaro kommer dina IT-resurser att vara riskexponerade för ett antal olika hot. Jag har valt att klassa in de olika typerna av hot i tre grupper: 1. Fysiska hot. Här räknar jag in faktorer som stöld, vandalisering, brand, komponentfel och översvämning för att nämna några. 2. Logiska hot. I det här fallet syftar jag på obehörig användning, manipulering, hindrande av tjänst och liknande logiska hot.

Kapitel 4 Hotbild 45 3. Mänskliga/organisatoriska hot. Här menar jag hot som uppstår på grund av dåliga rutiner, inga rutiner, oklar ansvarsfördelning, otillräcklig kunskap med mera. Varje typ av hot kan sedan brytas ner i mindre delar. Fysiska hot Den här typen av hot är lätta att relatera till. Det handlar om någonting som ställer till skada i det vi ser; datorer, hårddiskar, minneskretsar, nätverkskort, processorer, fläktar och andra komponenter. Det finns två undergrupper under typen fysiska hot: Rena tekniska fel orsakade av komponentfel eller någon form av systemhaveri. Sådana fel gör att tillgängligheten minskar eller rent av bryts under en viss tid. Obehöriga personer får fysisk åtkomst till IT-resurser eller att IT-resurser skadas rent fysiskt. I och med att datorerna blir snabbare, mindre och lagrar allt större mängder data är det här ett område att ta på allvar. I princip kan ett företags vitala data rymmas på en bärbar dator som inte väger mer än 2 kilogram och som kan stoppas innanför jackan. Band som innehåller säkerhetskopior av företagsinformationen ryms lätt i jackfickan och lagrar mångdubbelt mer information än en bärbar dator. Att obehöriga får fysisk åtkomst till IT-resurser kan medföra att sekretessen, integriteten och, till viss del, tillgängligheten skadas. Om IT-resurser utsätts för fysisk skada (brand, vandalisering, översvämning) hotas tillgängligheten i stor grad. Logiska hot Här hittar vi i stor utsträckning hot som på något vis är kopplade till programvaran i dina IT-system (operativsystem, tillämpningar, databaser och liknande). Det finns ett antal undernivåer på logiska hot och jag tänkte räkna upp de viktigaste, idag kända, hoten: Någon form av olaglig inloggning som leder till obehörig åtkomst (inbrytning/cracking, inloggning med falsk identitet och liknande). Det här är ett mycket allvarligt hot som kan leda till enorm skada, beroende på vilka rättigheter som har tilldelats det forcerade användarkontot. Ett hot i den här

46 Handbok i IT-säkerhet kategorin kan leda till allvarlig skada i tillgängligheten, integriteten och sekretessen i IT-resursen. Brist på oavvisbarhet, avvisbarhet och spårning är ett direkt följdhot till ovan nämnda hot. Det bör finnas loggfunktioner för att säkerställa spårning av händelser som har med systemens integritet att göra. Det innebär att om någon ändrar en vital systemparameter ska en loggning automatiskt ske. Sådan loggning måste vara säker så att oavvisligheten, och avvisligheten för den delen, blir vattentät. Samma principer gäller då användare skickar otillbörliga meddelanden eller hämtar och lagrar obscent material. Systemattacker för att förhindra tillgängligheten i system har varit ett uppmärksammat område under senare år. Stora handelsplatser på Internet som www.amazon.com och www.yahoo.com har utsatts för så kallade DoS-attacker (DoS = Denial of Service) med följd att legitima användare inte har kunnat utföra sina ärenden. Modifiering av IT-resurser genom virus-, mask- och trojanangrepp. Alla tre kategorierna kan ställa till med mer- eller mindre systemskada om de släpps igenom. Felen kan ta mycket lång tid att observera och skadeverkningarna kan bli mycket allvarliga med hård ekonomisk påfrestning som följd. Mänskliga/organisatoriska hot Här kommer den mänskliga faktorn in i bilden. Vi hittar rena handhavandefel, fel på grund av okunskap eller fel kompetens, organisatoriska brister och avsiktliga handlingar för att sabotera. De tydligaste hoten i den här kategorin är: Otydlig organisation med bristande roll- och ansvarsfördelning. Säkerhetsarbete handlar om att upprätta en säkerhetspolicy och se till att rollerna finns inom organisationen för att säkerställa policyns efterlevnad. Dessutom bör det finnas ett uttalat hit-team som rycker ut vid eventuella hot och sätter in definierade motåtgärder. Handlar det om något dittills okänt hot ska gruppen ha mandat att snabbt fatta beslut om alternativa motåtgärder. För att få en fungerande säkerhetsgrupp måste alla vara utbildade inom sitt ansvarsområde och fullt ut förstå vilka uppgifter varje rollbesättare har. Administrativa brister eller avsaknad av god behörighetsadministration. Behörighetsadministrationen är en mycket viktig funktion som tilldelar eller tar bort rättigheter till IT-resurser inom ett företag. När en ny person börjar på ett företag läggs den, oftast, upp i ett personaladministrativt sy-

Kapitel 4 Hotbild 47 stem och får därigenom ett anställningsnummer. Därefter ska behörighetsadministrationen tilldela rättigheter till adekvata IT-resurser som personen behöver ha tillgång till i sitt yrkesutövande. Om en person slutar ska tillgången till IT-resurserna blockeras eller tas bort, beroende på företagspolicy. Oklara administrativa rutiner kan ställa till det för både tillgängligheten, integriteten och sekretessen i IT-resurserna. Insiderhot Vi vet att det finns elaka människor där ute som inget hellre vill än att komma åt våra data och ställa till skada. Tyvärr finns det risker förknippade med företagets personal också. Det uppstår säkerligen situationer då vissa medarbetare har ett motiv och även möjligheten att genomföra något otillbörligt. Sådana hot är mycket svårare att gardera sig mot än de som finns där ute. Tydliga och begripliga instruktioner Det första som kan ställa till det rejält är otydliga direktiv eller instruktioner. Det minsta jag kan begära som nyanställd är att få reda på vilka arbetsuppgifter jag förväntas sköta, vilka mina befogenheter är, organisationsstrukturen och en utbildning i de system som jag måste använda, men inte har kompetens i. Tas inte detta på allvar av arbetsgivaren skapar det en kultur av gissningar, chansningar och kan i värsta fall skapa en otrygghet. Hur kan jag veta att jag har gjort rätt eller fel i en given situation? Loggning för oavvislighet Då och då blossar debatten upp om arbetsgivarens rätt att läsa personalens e-post och kontrollera innehållet på lokala hårddiskar. Får jag som nyanställd klara instruktioner om att e-post är en företagskritisk resurs som är ett föremål för loggning och stickprovskontroller är det upp till mig att säga nej tack. Om jag accepterar villkoren vet jag vad det är som gäller och får lov att acceptera det. Om det däremot smygs om vad som egentligen gäller eller om det ändras från dag till dag är det en helt annan sak. Loggningsfunktionen är en viktig del i att bekämpa insiderhot. Med bra loggningsfunktioner, kombinerat med god behörighetsadministration, ska det vara möjligt att kunna åstadkomma hållbara bevis för eller emot någon. Vi pratar om avvislighet respektive oavvislighet.

48 Handbok i IT-säkerhet Riskanalys och hotscenario Nu börjar det riktigt roliga arbetet. Det gäller att titta på alla IT-resurserna som man har och göra ett hotscenario baserat på de olika hotbilder som föreligger. Försök att identifiera vem som skulle tjäna på att göra någon form av brott i ditt system och tänk dig därefter in i den personens situation. Sysslar du med pengaöverföringar? Då kan någon vilja få tag på ett användarkonto som i sin tur har åtkomst till krypteringsnycklarna för överföringssessionen. Gör några riktiga och verklighetsförankrade hotscenarior och koppla riskerna till varje scenario om det skulle inträffa. Vilka är konsekvenserna och kostnaderna om ett hotscenario inträffar? Det här arbetet kan leda fram till ett beslutsunderlag som motiverar kostnaderna för att införa IT-säkerhet i form av mera personal och tekniska lösningar. Kapitel 13 innehåller en säkerhetspolicy för ett fiktivt företag. I arbetet kring säkerhetspolicyn ska en riskanalys göras för varje system och tjänst. Dessutom ska gemensam IT hanteras på ett tillbörligt sätt. Det är IT-säkerhetschefens yttersta ansvar att få igång arbetet med identifieringen av hot och jobbet med riskanalyser.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss