Informationssäkerhet en introduktion Säkerhetsavdelningen security@uu.se sakerhet@uu.se 018-471 75 60 Det händer inte mig Kyrkogårdsg. 2C Observatorieparken Michael Svensson Bo Hiding
säkerhetsavdelningen security@uu.se sakerhet@uu.se 018-471 75 60 Kyrkogårdsg. 2C Observatorieparken Innehåll 1. Inledning a) Presentationsrunda b) Säkerhetsarbetet och säkerhetsavdelningen c) Säkerhet i Medarbetarportalen 2. Lagar och riktlinjer 3. Allmänt om risker 4. Riskhantering vid Uppsala universitet 5. Skydd a) Mobila enheter b) Säkerhetskopiering c) Lösenord d) Virus m.m. e) Sociala medier och moln f) E-post g) Kryptering och digitala signaturer 6. Sammanfattning Start: 09.15 Fika: ca 10.15 Slut: ca 11:30
Presentationsrunda
Säkerhetsavdelningens områden Kris och kontinuitetshantering Utbildning Övning Information Risk och sårbarhetsanalys Informationssäkerhet Utbildning Informationssäkerhetsklassningar Dokumenthantering Mobil utrustning (bärbara datorer, smarta telefoner, surfplattor osv) IT-säkerhet IRT (SOC) Internet, webben Riskanalyser Säkerhetsanalyser IT-säkerhetsgranskningar Skydd mot virus, nätfiske, trojaner Personsäkerhet Hot och våldsutbildningar Konsultationer och säkerhetshöjande aktiviteter Bevakning Larm, passerkontroll Utbildning Egendomsskydd Brandskyddsutbildningar Systematiskt brandskyddsarbete Restvärdesräddning Universitetets verksamhetsförsäkring Riskanalyser Teknisk säkerhet Bevakning och skalskydd Larm, passerkontroll Åtgärder vid evenemang
Säkerhet på ett universitet? Stölder Inbrott IT-säkerhet Hot Olaga förföljelse (stalkning) Trakasserier Försäkringsärenden Skadegörelse Bedrägerier Olaga intrång Spionage Bombhot Statsbesök Stora evenemang kontroversiella föreläsningar
Säkerhet i Medarbetarportalen
Mål- och regler vid Uppsala universitet Riktlinjer på en övergripande nivå, fastställda av rektor eller universitetsdirektör återfinns i universitetets mål- och regelsamling. (Medarbetarportalen Stöd och service Mål- och regelsamlingen)
Lagar & riktlinjer
Lagar, förordningar, föreskrifter Tryckfrihetsförordningen (1949:105) Brottsbalken (1962:700) Arkivlag (1990:782) Förvaltningslagen (1986:223) Högskoleförordningen (1993:199) Personuppgiftslag, PuL (1998:204) Lagen om offentlig anställning (1994:260) Offentlighets- och sekretesslag, OSL (2009:400) Lag (2003:389) om elektronisk kommunikation Lag (2000:832) om kvalificerade elektroniska signaturer Lag (1998:112) om ansvar för elektroniska anslagstavlor Förordning (1995:1300) om statliga myndigheters riskhantering MSB:s föreskrifter om statliga myndigheters informations-säkerhet (MSBFS 2009:10) E-delegationens riktlinjer för sociala medier
Offentlighets- och sekretesslagen Offentlighets- och sekretesslagen Bestämmelser om myndigheters handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar Personuppgiftslagen Ska skydda människor så inte behandling (registrering, bearbetning, spridning m.m.) av deras personuppgifter kränker den personliga integriteten
Allmän handling? Inkorg och utkorg E-postmeddelanden Protokoll Loggar Forskningsdata - Arbetsmaterial - Material i bibliotek eller i allmänt arkiv för förvaring - Privata dokument, bilder, meddelanden - Säkerhetskopior - Skräppost
Utlämning av allmän handling ska alltid föregås av en bedömning om handlingarna är allmän handling och om det föreligger något hinder för utlämnandet (sekretess). Allmän handling Se Guide begäran om utlämning av allmän handling Begäran från åklagare/polis kontakta säkerhetsavdelningen för stöd och hjälp Personlig information till personen själv enligt personuppgiftslagen till dödsbo kontakta juridiska avdelningen eller säkerhetsavdelningen (riktlinje i MP, Hantering av elektroniskt lagrad information.. UFV2012/415)
Universitetets riktlinjer för IT och säkerhet Övergripande i universitetets mål- och regelsamling Specifika och konkreta i Medarbetarportalen
Allmänt om risker
Dagligen riskbedömningar
Riskhantering vid Uppsala universitet 17
Rätt säkerhet 18
Informationsklassning Nulägesbedömning Hot & Riskanalys
Riktlinjer 3 Syfte Dessa riktlinjer avser att ge ett praktiskt och verksamhetsanpassat stöd för kontinuerlig riskhantering av universitetets informationsresurser med avseende på konfidentialitet (sekretess), riktighet (integritet) och tillgänglighet. 4 Mål Att universitetets informationsresurser är skyddade i enlighet med vid universitetet gällande riktlinjer för informationssäkerhet (UFV 2010/424). 20
Genomförande Workshop 1 Informationsklassning och konsekvensanalys Bedömning av informationens skyddsvärde och baserat på denna konsekvenser för verksamheten om Systemet inte fungerar (driftsavbrott) Data förloras Data blir fel Data sprids till fel mottagare Workshop 2 Säkerhets- och sårbarhetsanalys Bedömning av IT-systemen Nuvarande alt. planerade säkerhetsnivå Rekommenderade säkerhetsnivå enl. infoklassning Kända sårbarheter/brister i säkerheten Behov av skyddsåtgärder 21
Workshop 1 Informationsklassificering Hur känslig är informationen? 1. Terminologi (säkerhetsaspekter, skyddsnivåer, skyddsåtgärder) 2. Metodik 3. Avgränsning (informationsobjekt) 4. Bedömning av skyddsnivåer/ säkerhetsaspekt Konsekvensanalys Konsekvenser för verksamheten för tänkta incidenter? 1. Terminologi (skadetyper, typskador, skadekostnader) 2. Metodik 3. Avgränsning (delsystem/funktioner) 4. Bedömning av konsekvenser utifrån tänkta scenarier 22
Klassificeringsmodell * * Motsvarande för Riktighet och Tillgänglighet (inkl. Avbrottsskydd). 23
Workshop 2 Risk- och hotbildsanalys 1. Terminologi och metodik 2. Avgränsningar E-området, ett system, delsystem? Gränssnitt mot andra system? 3. Bedömning av Kända säkerhetsbrister Gap mellan nuvarande/planerade skyddsåtgärder och rekommenderade enligt infoklassning och konsekvensanalys Behov av förbättringsåtgärder
Exempel på uppdrag Ladok3 Mosler Informationsklassning och risk- och hotbildsanalys av säkerhetsaspekter i/på nya Ladok. Informationsklassning och riskanalys av en tjänst för hantering av genomdata till forskare inom life science-området i Sverige. SNIC-Sens (Swedish National Infrastructure for Computing) Nationellt projekt för uppbyggnad av gemensam lagringsresurs av känsliga patientdata för forskningsändamål. Infoklassning, konsekvens- och riskanalys. 25
Om teknik och beteende
Den största bristen vi har sitter strax söder om näsan Upsala Nya Tidning april 2015
Upsala Nya Tidning maj 2015
Mobila enheter
Mobila enheter Bärbar dator Läs- och surfplatta Smart mobiltelefon och liknande Portabla lagringsmedia Minneskort USB-minnen Externa hårddiskar och liknande
Hela livet mobilt? 73 % använder smarta mobiler 69 % % kopplar upp sig till internet via mobilen E-post, sociala medier, appar, dokument, musik, sökningar, bankärenden, e-böcker, sms, klocka... Kräver medvetenhet och sunt förnuft.
Nya användningsområden ställer nya frågor Är det förenligt med god säkerhet att ansluta till öppna publika nätverk? använda mobilen till bankärenden? sköta betalningar via Swish? Vågar jag ladda ner den här appen? Behöver den här appen verkligen ha tillgång till mina Kontaktuppgifter eller uppgifter om min position? Svaret på frågorna handlar mycket om sunt förnuft och hur jag handskas med min enhet: Har jag koll på min telefon? Är den skyddad med lösenord eller PIN-kod? Hur förvarar jag mina koder? etc.
BYOD Bring Your Own Device En företeelse för universitetet att förhålla sig till Är BYOD en bra idé? Det finns under alla omständigheter en del att fundera över i sammanhanget. Se http://www.datainspektionen.se/personuppgiftsombud/samradsyttranden/mall2/
Risker kopplade till mobila enheter - är det något vi oroar oss över vid Uppsala universitet? Risk- och sårbarhetsanalys för Uppsala universitet 2013 Känslig information och dokument som lagras okrypterat i molnet eller på mobila enheter (BYODs) utan lösenordsskydd
Vad finns i universitetets riktlinjer med anknytning till mobila enheter och BYOD? Från Riktlinjer inom IT-området (Dnr UFV 2013/907): Personlig utrustning som används vid studier eller i tjänsteutövning ska, oavsett om den ägs av universitetet eller enskild verksam, hanteras på ett säkert sätt som minimerar risken för informationsförluster och intrång i universitetets datornät. Nivån på skyddet ska bedömas utifrån graden av känslighet på den information som lagras i eller som på annat sätt kan nås via enheten.
minimerar risken för informationsförluster och intrång i universitetets datornät. Hur då? Nivån på skyddet ska bedömas utifrån graden av känslighet på den information som lagras i eller som på annat sätt kan nås via enheten. Hur bedömer man det?
Mobila enheter - UFV 2013/907 Regler och rekommendationer Dokumentet finns och innehåller en blandning av Riktlinjer Goda råd Ordlista m.m. Bra, men ack så långt och omfattande
Integritet och säkerhet Särskilt för mobila enheter: Förvara enheten (mobil, laptop osv) säkert Aktivera PIN-koden så mobilen låses automatiskt Var försiktig vid anslutning till öppna publika nätverk Öppna inte SMS/MMS från okända avsändare, klicka inte heller vidare på länkar som skickats från okända Avaktivera positionstjänster och blutooth när de inte behövs Använd appar med omdöme Uppdatera enheten så fort uppdateringar finns Radera regelbudet information som inte längre behövs. Överför information till annan lagring vid behov
Integritet och säkerhet Generellt: Var rädd om dina lösenord och koder Surfa med omdöme - var försiktig med vad du klickar på, öppnar och laddar ner Mata inte in personliga uppgifter i webbformulär från e-post eller sociala medier Känslig information? Se till att kommunikationen är säker Lagra inte känsliga data eller dokument med personuppgifter i moln-tjänster, typ Dropbox, icloud, Google Drive och liknande Säkerhetskopiera informationen
Spelar det någon roll vilket operativsystem som mobiltelefonen använder? Jämförelsen Android iphone motsvarar jämförelsen Windows Mac på persondatorsidan. Hoten riktar sig i mycket stor utsträckning mot det operativsystem som har den största spridningen och som dessutom är mera öppet. En förkrossande stor andel av den skadliga programkod som existerar i den mobila världen riktar sig mot Android. Behåll din Android, men var medveten om problemet!
Säker användning av appar? Installera bara appar du behöver Vem har gjort appen, är det en känd leverantör? Se upp med frågor som ställs, tex vid installationen Uppdatera Ta bort appar du inte längre använder
Inte bara onda krafter som ställer till det Hämtat från en artikel i Ny Teknik: Så öppnar appar mobilen för spioner Slarv vid programmeringen av appar som görs på kända utvecklingsplattformar lämnar mobilerna öppna för dataspionage utan användarens vetskap. Programmerarna måste ta sig tid att bara aktivera de rättigheter som krävs för just den app de utvecklar. Problemet är att begäran om alla dessa rättigheter lämnar dörren öppen för datapioner via funktioner som kamera, kontakter, gpsposition o s v. Mobilanvändaren märker inte något.
och den smarta telefonen är fortfarande en telefon Ja, det här är ju lite känsligt men..!
Om jag tappar bort eller blir bestulen på min mobiltelefon? Innan det händer något Notera telefonens IMEI-nummer - slå *#06# så visas numret i displayen Säkerhetskopiera information, dokument, foton mm regelbundet Find My Phone spåra telefonen Polisanmäl, 114 14 eller via webben. Ange IMEI-numret Spärra telefonen hos mobiloperatören Ange telefonnummer, IMEI-nummer, numret på polisanmälan Remote wipe Raderar personliga inställningar, återställer fabriksinställningar Raderar SMS och MMS Raderar e-post Vid universitet kan detta göras via Outlook. OBS! Ej spårbar efteråt! Tänk på att en mobil kan gå sönder också..
Säkerhetskopiering
Se på din dator som något som kan fara i luften när som helst Diskkrasch Brand Radering eller uppdatering av misstag Intrång etc. Suck, diskkrasch och ingen backup! Typ surt!
Risker kopplade till bristfällig säkerhetskopiering - är det något vi oroar oss över vid Uppsala universitet? Risk- och sårbarhetsanalys för Uppsala universitet 2013 Förlust eller förvanskning (fusk) av forskningsdata pga. slarvig hantering av persondatorer, lokal lagring på persondatorer med bristfällig eller ingen backup, stöld, hackning etc.
Vad finns i universitetets riktlinjer med anknytning till säkerhetskopiering av persondatorer, mobil utrustning och portabla lagringsmedia? Från Riktlinjer inom IT-området (Dnr UFV 2013/907): Innehavaren är ansvarig för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt... Uppdateringar, antivirus och säkerhetskopiering sköts i normalfallet av IT-ansvarig/dataansvarig på respektive institution/motsvarande eller av intendenturen. Prefekt/motsvarande kan besluta om undantag från detta Hur funkar det vid min institution?
Vad finns i universitetets riktlinjer med anknytning till säkerhetskopiering och serverdrift? Driftorganisationen ansvarar för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt. Systemägaren försäkrar sig om detta genom upprättande av ett s.k. servicenivåavtal med driftorganisationen. Här finns en del att tänka på: Vad ska sparas och med vilken periodicitet? Hur länge ska data sparas? Behövs krypterad lagring? Test av återläsning? m.m. Mer detaljerade riktlinjer för säkerhetskopiering kommer att fastställas inom kort!
Att tänka på Vad behöver jag göra själv? Kolla vad som gäller vid din institution. Kom ihåg att en bärbar dator måste anslutas till nätet med nätverkssladd för att säkerhetskopiering ska fungera! Säkerhetskopior ska förvaras säkert och skilda från berörda datorer. Lika viktigt som att ta säkerhetskopior är att testa att det går att återställa filer från dessa. Hur gör du med säkerhetskopiering hemma? Har du tusentals familjebilder och annat viktigt på din dator, men ingen backup?
Lösenord
Västvärldens 25 vanligaste lösenord 2014 http://splashdata.com/splashid/worst-passwords/ 1. 123456 2. password 3. 12345 4. 12345678 5. qwerty 6. 123456789 7. 1234 8. baseball 9. dragon 10. football 11. 1234567 12. monkey 13. letmein 14. abc123 15. 111111 16. mustang 17. access 18. shadow 19. master 20. michael 21. superman 22. 696969 23. 123123 24. batman 25. trustno1 Vanliga i Sverige även: årstider, bilmärken, personnamn
Riktlinjer för lösenord Finns publicerade i medarbetarportalen och handlar om lösenordskvalitet (starka lösenord) lösenordsskydd (hur de hanteras) Två ansvarsområden Ditt ansvar Systemens ansvar
Vad är ett bra (starkt) lösenord? minst 10 tecken långt innehåller en blandning av små och stora bokstäver, siffror och specialtecken (som ~! @ # $ % ^ & () _ + - * / = { } [ ] \ : ; < >? samt mellanslag, kommatecken och punkt) Hur säkra är dina lösenord? Testa gärna (t.ex på DinSäkerhet.se men skriv inte in de du använder skarpt! UUs gemensamma inloggningstjänst kontrollerar automatiskt.
Ditt ansvar Använd starka lösenord Skydda dina lösenord Berätta aldrig dina lösenord eller koder för andra Använd inte universitetslösenord till andra tjänster Byt lösenordet om någon annan råkat få veta det Tips utanför universitetet: Använd olika lösenord till olika tjänster eller grupper av tjänster Var extra rädd om ditt e-postlösenord!
Systemens ansvar Gemensam inloggningstjänst Kontrollerar så lösenord är tillräckligt bra Säker hantering av lösenord Begränsad åtkomst Skydd mot gissningsattacker
Cyberskräp Virus, skadlig kod, nätfiske mm
Ransomware Skadlig kod som krypterar filer på din enhet och kräver en lösensumma för dekryptering.
Indikationer på skadlig kod Erbjudanden som är för bra för att vara sant Du får en gratis iphone Ologiska budskap Du har skatteåterbäring att kvittera ut Brister i grammatik och språk Du har lösta paket Höga ljus från vårt utbud Indirekta hot eller liknande Om du svarar inom 2 dagar så Ditt konto stängs av... Märkliga länkar http://www.uu.se/trucdjahuw567/badboy.ru Bilagor laddas ner.zip,.docx,.tar,
Att skydda sig och sin information Tänk efter före En bärbar dator måste anslutas för att uppdateras Mata inte in personliga uppgifter i webbformulär från e- post, chattprogram om du inte är säker på mottagaren Klicka inte på pop-up fönster som påstår att du har virus Säkerhetskopiering Uppdatera Installera säkerhetspatchar för alla program så fort uppdateringar kommer Uppdatera smarta telefoner och plattor Ha antivirus som uppdateras automatiskt
Sociala medier och moln
Sociala medier Ett sätt att kommunicera, skapa relationer, främja dialog och dela kunskap
Sociala medier Samma regler som för e-post-kommunikation men med fler och okända mottagare Höga förväntningar på snabbhet Allmän handling Sekretess PUL Vem är du när du skriver i tjänsten eller privat? Vad och hur skriver du? Vem är det som läser? Lätt att missuppfatta eller feltolka Lätt att sprida vidare Publicering av bilder Kartlägga någon är lätt Svårt att få bort det som publicerats
Molntjänster
Molntjänster Ställer krav på dig som användare! Vilken typ av information? Vem äger, når eller får använda informationen du har i molnet? Sekretess och känsliga personuppgifter ska inte finnas i molnet Universitetets handlingar får inte förloras På vilket sätt ska tjänsten användas? Läst avtalet?
E-post
E-post Lika säkert som att skicka vykort Undvik att blanda arbetspost och privat e-post Det finns alltid risk att andra kan ta del av meddelandet Det är lätt att skicka till fel mottagare av misstag Känsliga personuppgifter ska skickas krypterade Sekretesskyddade uppgifter bör inte skickas med e-post E-post får inte automatiskt vidaresändas utanför UU
All e-post är inte äkta Skydda dig! Svara inte skicka istället det misstänkta brevet till security@uu.se eller ring oss, anknytning 7560.
All e-post är inte önskad Hot, stalkning eller trakasserier Ta inte bort meddelandet Svara inte Skicka e-postmeddelandet till security@uu.se eller ring oss, anknytning 7560
Kryptering och digitala signaturer
Vad är kryptering? Är algoritmer som bland annat möjliggör: Skicka meddelanden som är oläsbara för andra än avsändaren och mottagarna Säkerställa avsändarens identitet Säkerställa att information inte är ändrad Göra information oläsbar för ej behörig
Kryptering i vardagen Är grunden för mycket vi gör: När du surfar på nätet och https används När du använder din internetbank När du deklarerar på nätet Massor av annat
Metoder och tekniker Begrepp bra att känna till: Asymmetrisk kryptering publik & privat nyckel Symmetrisk kryptering hemlig nyckel Certifikat utfärdat av betrodd part För den som vill veta mer: http://sv.wikipedia.org/wiki/asymmetrisk_kryptering http://sv.wikipedia.org/wiki/symmetrisk_kryptering http://en.wikipedia.org/wiki/public_key_certificate
Ett exempel Avsändaren krypterar Mottagaren dekrypterar
När ska man använda kryptering? Vid datalagring och elektronisk kommunikation av känslig information, t.ex: Sekretesskyddad information Starkt integritetskänslig information Känslig forskningsinformation Undvik skicka känslig information i e-post, använd istället krypterade bilagor eller gemensamma ytor som är skyddade
Hur gör man? På Medarbetarportalen finns även riktlinjer och instruktioner för hur man går tillväga för att: Skicka krypterad e-post Kryptera dokument Kryptera hårddiskar och USB-minnen Signera dokument digitalt Tyvärr är det fortfarande ganska krångligt
Kryptering och signering av e-post Finns två metoder och tekniker inom universitetet: PGP och S/MIME Båda dessa kräver att avsändare och mottagare använder samma teknik Relativt komplicerat att komma igång och använda dessa metoder Arbete pågår för att utvärdera och tillhandahålla enklare och mer användarvänliga tillvägagångssätt
Filkryptering Kan användas för att kryptera mappar eller filer (word, excel, pdf, dwg, o s v) Dessa mappar eller filer kan sedan mailas, lagras på gemensamma ytor eller USB Programvaror som finns tillgängliga är 7-zip, WinZip och AxCrypt Distribuera lösenordet via SMS, muntligt eller i pappersform, d v s inte via email Använd långa lösenord Använd AES256 när du krypterar (anges första gången i programvaran
http://bubulcus.user.uu.se/cmapplicationcatalog/
Kryptering av hårddiskar USB-minnen och externa hårddiskar har oftast medföljande krypteringsmöjlighet Windows-PC har BitLocker förinstallerat men det behöver aktiveras Mac-datorer har filevault förinstallerat men det behöver aktiveras USB-minne Extern hårddisk Dator
Digital signering Används för två ändamål: Kontrollera avsändarens identitet är äkta Kontrollerar att innehållet inte är förändrat efter signeringen Sigill Namnteckning Elektronisk signatur
Råd Viss e-post ska krypteras, alternativt använd andra sätt att kommunicera Använd kryptering på USB-minnen och externa hårddiskar dom kan lätt komma på avvägar Hårddiskkryptering av din dator speciellt om den är bärbar exempel BitLocker eller Filevault Använd filkryptering när du behöver skicka känsliga saker till någon annan
Sammanfattning
Avslutningsvis - 10 snabba råd att lägga på minnet 1. Se till att din dator och dina mobila enheter hålls uppdaterade. Gamla programversioner som innehåller sårbarheter gör att din dator/dina mobila enheter kan utsättas för skadlig kod. 2. Var rädd om ditt lösenord! Universitetets riktlinjer för lösenordshantering ger god vägledning. 3. Se upp med nätfiske (s.k. phishing) som via falska e-postbrev eller webbformulär försöker lura av dig personliga uppgifter, såsom lösenord, användarnamn, kontonummer eller koder. Många av de aktörer som ägnar sig åt sådan verksamhet har utvecklat en stor skicklighet i att använda logotyper och falska formulär som ser trovärdiga ut. Universitetets IT-personal frågar aldrig efter ditt lösenord i e-post. 4. Surfa med omdöme! Det kan räcka med att besöka en viss webbsida för att din dator/dina mobila enheter ska smittas med skadlig kod. 5. Lagra inte personuppgifter eller annan känslig information i molntjänster. Fortsättning följer
Avslutningsvis - 10 snabba råd att lägga på minnet 6. Var noga med säkerhetskopiering! Ta reda på vad som gäller vid din institution beträffande säkerhetskopiering. 7. Installera bara de appar du behöver. Appar som inte uppfyller grundläggande säkerhetskrav gör dina mobila enheter sårbara. 8. Tänk på vad du skickar med e-post det är inte säkrare än ett vykort! 9. Anmäl incidenter till security@uu.se och kom ihåg att Säkerhetsavdelningen finns till för er. 10. Hämta vägledning från universitetets riktlinjer.
I Medarbetarportalen Stöd och service Säkerhet Riktlinjer och stöddokument
I Medarbetarportalen Stöd och service IT och telefoni IT-tjänster Regler och riktlinjer