Är digitaliseringen säker? Christer Åhlund, Luleå tekniska universitet och Lisa Kaati, Totalförsvarets forskningsinstitut/uppsala universitet

Relevanta dokument
Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Introduktion till protokoll för nätverkssäkerhet

DIG IN TO Nätverkssäkerhet

Din guide till en säkrare kommunikation

256bit Security AB Offentligt dokument

Säkra trådlösa nät - praktiska råd och erfarenheter

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

Krypteringteknologier. Sidorna ( ) i boken

Sammanfattning av riktlinjer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Tekniska lösningar som stödjer GDPR

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Blockkedjeteknikens fördelar och framtidens utmaningar I datahantering. Andreas de Blanche

Tekniska lösningar som stödjer GDPR

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Säkerhet och förtroende

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Grundfrågor för kryptosystem

Hur påverkar DNSsec vårt bredband?

Cyber security Intrångsgranskning. Danderyds kommun

DNSSec. Garanterar ett säkert internet

Icke funktionella krav

Modul 3 Föreläsningsinnehåll

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Datasäkerhet. Petter Ericson

Switch- och WAN- teknik. F7: ACL och Teleworker Services

Riktlinjer för informationssäkerhet

SNITS-Lunch. Säkerhet & webb

Policy för IKT och digital kompetens i undervisningen på Institutionen för pedagogik och specialpedagogik

Trender inom Nätverkssäkerhet

Forsknings- och innovationsagenda 2019

Chief Information Officer

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Utredning om ö ppet wifi för besökare på bibliotek

Kryptering. Krypteringsmetoder

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Geografins roll i DIGITALISERINGEN

Det digitala Malmö Malmö stads program för digitalisering Stadskontoret

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

Riktlinjer för informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

SÄKERHETSLÄGET. för svenska små och medelstora företag 8 december, Check Point Software Technologies Ltd.

WORKSHOP FÖR FRAMTIDEN

FÖRHINDRA DATORINTRÅNG!

Trojaner, virus, kakor och candy drop

Hur värnar kommuner digital säkerhet?

Datacentertjänster IaaS

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Digital säkerhet och tillförlitlighet

WORKSHOP FÖR FRAMTIDEN

Så här övertygar du ledningen om att satsa på IT-säkerhet

Kunskap i samverkan. Helene Hellmark Knutsson Minister för högre utbildning och forskning. Utbildningsdepartementet 1

Mål och strategi för Internet of Things Sverige

Transport. have a. We will not. society. Margaret Mead. Transport 33

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

CYBERSÄKERHET I INDUSTRI. Håkan Tyni IT Säkerhet och SUM

Säkerhet. Säkerhet. Johan Leitet twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Strategi för Stockholm som smart och uppkopplad stad. Sammanfattning

Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB

DIGITALISERING: SPORT + IKT = TILLVÄXT

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Protokollbeskrivning av OKI

Policy för användande av IT

AI i VÅRDEN. Tillåt inte Riskerna överskugga Möjligheterna

ISA Informationssäkerhetsavdelningen

White paper. Vård i världsklass. En möjlighet för Sverige

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

Trojaner, virus, kakor och candy drop

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

På väg mot ett hållbart digitaliserat Sverige - Ett smartare Sverige

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Innehåll Andreas Rosengren

Digitaliseringens roll för smarta regioner vad driver oss att använda nya tjänster?

Tillsyn enligt personuppgiftslagen (1998:204)

Medvetet företagande i en digitaliserad tid

Vinnovas arbetssätt. Tre roller. Sveriges innovationsmyndighet. Om Vinnova. Innovationer uppstår ofta i samverkan vi ger förutsättningarna

Regeringens mål för IT-politiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Erfarenheter från IRTverksamhet. Einar Hillbom UMDAC Umeå Universitet

Appendix E Intervjuanteckningar

Forskningspropositionen 2016/17:50 Kunskap i samverkan

Så ska Sverige bli bäst i världen på att använda digitaliseringens möjligheter

COM HEM-KOLLEN TEMA INTEGRITET. Februari 2018

Instruktion för integration mot CAS

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Big Data för Fordon och Transport! Vår Digitala Framtid, Trafikverket!! Björn Bjurling, SICS Swedish ICT, !

Andreas Rosengren

Kryptoteknik. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Digitalisering först till vilket pris?

OFTP2 Webinar den 26 Oktober kl Vad är OFTP2 översikt, bakgrund, viktigaste skillnader mot OFTP1

DNSSEC och säkerheten på Internet

Transkript:

Är digitaliseringen säker? Christer Åhlund, Luleå tekniska universitet och Lisa Kaati, Totalförsvarets forskningsinstitut/uppsala universitet

Regeringens samverkansprogram och Digital säkerhet Nästa generations resor och transporter Smarta städer Cirkulär och biobaserad ekonomi Life Science Uppkopplad industri och nya material Prioriteringar Digital säkerhet och tillförlitlighet???? Strategisk forskning och innovation U&H WASP

Är digitaliseringen säker? (ett perspektiv) Christer Åhlund Prof. Distribuerade datorsystem Möjliggörande IKT Lisa Kaati IoT Sverige Uppsala Universitet/FOI

Digitalisering + Innovation+IKT säkerhet En intressant kombination av möjligheter varje digitalt hot kräver ett innovativt motmedel

Vad är digitalisering I En digital agenda i människans tjänst-delbetänkande av Digitaliseringskommissionen 2014 (SOU 2014:13) kan läsas: Digitalisering används i dag vanligen i två olika betydelser. Dels som informationsdigitalisering, det vill säga omvandling av information till digital form, dels som samhällelig digitalisering, det vill säga (ökad) användning av it i bred bemärkelse i samhället.

Vad är digitalisering I Gör Sverige i framtiden-delbetänkande av Digitaliseringskommissionen 2015 (SOU 2015:28) kan läsas: Digitalisering innebär att digital kommunikation och interaktion mellan människor, verksamheter och saker blir självklara. Möjligheten att samla in, tolka, tillämpa och utveckla allt större kvantiteter av data digitalt, medför att det uppstår utvecklingsmöjligheter inom de flesta områden. Vad vi gör, hur vi gör och vad som går att göra förändras i och med digitaliseringen. Allt större delar av tillvaron är digitaliserad samtidigt som det i allt mindre grad går att skilja ut det digitala från det ickedigitala.

En ny idé Vad är en innovation

Vad är IKT-säkerhet Skydd av datorsystem från stöld och förstörelse av hård och mjukvara samt information

Digitalisering..möjligörs med informations och kommunikationsteknologi(ikt). Det krävs att vi kan Säkerställa källan som skapar data/information Validera korrekthet i data/information Skydda data/information från obehörig åtkomst Tillhandahålla tillgänglighet

Intressanta områden Uppkopplad/uppkopplat Samhällsinfrastruktur (broar, vägar, byggnader, m.fl) Hem Bilar Hälso, sjukvård Godtyckliga ting-sakernas Internet (IoT)

Autentisering Behov av säkerhet Skaparen av data/information och validering av dess originalitet Åtkomsträttigheter till system samt data och information Konfidentialitet Endast tolkningsbart för behöriga

Integritet Behov av säkerhet Information som kan vara skadlig för individ och organisation skyddas Tjänstetillgänglighet Åtkomst till nätverk, servrar (DNS, molnplattformar, m.m)

Kryptering AES, RSA Autentisering Följande krävs Hash, MAC för information Lösenord för accesskontroll Hantering av nycklar Symmetriska, asymmetriska K AB = a x A. xb mod q Bildern är från Cryptography and Network Security, W. Stallings

Skydd av algoritmer och nycklar Algoritmerna som används inom IKT-säkerhet ska anses som öppna Initialt så försökte dessa hemlighållas men information läckte ofta ut

Exempel:RSA Skapa RSA nycklar 1.Välj primtal, ex: p=17 & q=11 2.Beräkna n = pq =17 x 11=187 3.Beräkna ø(n)=(p 1)(q-1)=16 x 10=160 (Euler s totient funktion) 4.Välj e: gcd(e,160)=1; ger e=7 5.Bestäm d: de=1 mod 160 och d < 160 ger d=23 då 23x7=161= 10x160+1 (Euler s teorem) 6.Publik nyckel PU={7,187} 7.Privat nyckel PR={23,187} Enkel RSA kryptering/dekryptering 1.Givet meddelande M = 88 (nb. 88<187) 2.Kryptering: C = 88 7 mod 187 = 11 3.Dekryptering: M = 11 23 mod 187 = 88

Skydd av algoritmer och nycklar Algoritmerna som används inom IKT-säkerhet ska anses som öppna Initialt så försökte dessa hemlighållas men information läckte ofta ut Nycklarna är nyckeln till säkerhet Kräver god hantering och lägger ansvaret på systemadministrationen och användare

Konklusion Val av lämplig algoritm och hantering av nycklar är avgörande Tid för hur länge något ska vara säkert är också viktigt att ta hänsyn till

Vad bör skyddas Individer, organisationer & samhällsinfrastrukturer (etc.) genom att skydda Data Applikationer IKT-infrastruktur Fysisk tillgänglighet av utrustning

Några typer av attacker Malware(sabotageprogram) Virus, maskar, trojansk häst, spionprogram, cross-site scripting (XSS), ransomware Nätfiske Att använda bakdörrar DDOS Vid åtkomst till en fysisk enhet kan ex. JTAG användas för att nå processor, minne och andra enheter för access till känslig information

Attacker nu och då, ett exempel I början av 90-talet (innan Internets spridning) skannades telefonnummer för att se om ett modem svarade, varpå försök till intrång skedde idag används portskanning på olika IP adresser för att detektera protokoll och tjänster (ex. med Nmap) samma typ av attack förekommer nu som då......så vad har vi lärt oss?

Cyber-fysiska system Teknologitrender IKT som agerar i fysiska objekt Sakernas Internet Ett Internet uppkopplat cyber-fysiskt system Öppen data Fritt tillgänglig data utan inskränkning Molnplattformar <x>-as as service

Teknologitrendernas innebörd Många fler Internetuppkopplade enheter Internetuppkopplade enheter med begränsad beräknings-, lagrings-, och energi-kapacitet Enkelhet i användande och uppkoppling Ökade mängder av data

Teknologitrendernas innebörd Gartner spådde (i oktober 2014) att 50% av IoT systemen under 2017 skapas av nyetablerade företag yngre än 3 år, korrekt? Utvecklare som adresserar kärnområdet fokuserar oftast på funktionen och inte säkerheten i första hand medan säkerhetsexperten adresserar hur teknologin kan användas på annat vis, såsom åtkomst till andra system Fler system = mer att hacka

Kända attacker 2014, intrång i Webbdatorcentralens styrsystem för fastigheter Låg säkerhet vid inloggning Remote kontroll av exempelvis värme, låssystem, brandlarm med mera Motverkan?

Kända attacker 2016 Dyn cyberattack, en DDOS attack mot DNS leverantören Dyns system. 1.2 Tbit/s Använde sakernas Internet infekterade med Mirai (Botnet attack) Motverkan?

Kända attacker 2016, Keen security lab hackar Tesla modeller Åtkomst till CAN-bussen Kunde kontrollera bilen på distans Motverkan?

Innovationsmöjlighet Hitta metoder för skalbar och säker hantering av massiva mängder uppkopplade enheter och motverkan av attacker Börjar bli svårt att i förhand vara medveten om bitmönster i Malware och hot i trafikmönster som möjliggör detektering pga av mutering Lösning, detektera avvikelser? Öka medvetenheten om IKT säkerhet

Så vad krävs Metoder som kan identifiera normal aktivitet i access av data, bearbetning, lagring och kommunikation Genom maskininlärning (ex. reinforcement lerning, unsupervised learning) Avvikelserapportering/åtgärd vid avvikelsedetektering

Så vad krävs Säker hantering av IoT enheter Innovationer för hur dessa ska underhållas över tid, sett till uppgraderingar av programvaror, upptäckande av komponenter som kräver översyn och bli medveten som tillstånd i komplexa IoT installationer där systemfunktionaliteten fallerar på något sätt

Så vad krävs Säkerhetsmekanismer som är hanterbar i resursbegränsade IoT-enheter Den fundamentala grunden för säkerhetssystem är metoder för autentisering samt kryptografiska algoritmer och metoder. Området utvecklas ständigt och nya principer och anpassningar till systemkrav måste till, för att man skall kunna uppnå en hög säkerhet både på IoT-enheter och systemen som hanterar IoT enheter

Så vad krävs Identitet-stärkt kontroll över dataaccess Då vi delger en ökad mängd information för olika syften, ökar behovet av att kontrollera vem och vilka som ska kunna konsumera data Autentiseringen för åtkomst till kritiska system behöver säkerställda/nya metoder

Datatransformation Så vad krävs Data som produceras av IoT enheter kommer att kombineras på ett sätt som gör det svårt att överblicka vilken typ av information som kan utvinnas, detta gäller även datamängder som tillgängliggörs som öppen data vid offentlig verksamhet, nya metoder behövs

Övervakningssensorer

Biometriska sensorer

Sociala sensorer

Massor av data Vem har rätt till datan? Vem äger datan? Hur hamnade jag här? Kan jag ångra mig? 38

Personlig integritet

Flera källor för inhämtning och lagring Flera olika platser att lagra data på betyder fler sårbarheter Innebär ett ökad hot mot den personliga integriteten Oemotståndlig källa av information för myndigheter

Etik

Etik handlar om vad som är gott och ont, rätt och fel

Etik juridik Lagliga saker kan vara oetiska Etiskt försvarbara saker kan vara olagliga

Transparens Hur fattar algoritmerna beslut? Har inte vi rätt att veta det? 46

Etiska regler för en självkörande bil 1. Skada inte en människa 2. Skada inte egendom 3. Lyd din alltid förare 4. Följ trafikregler 5. Skydda dig själv 6.

Artificiell intelligens

Vad gör vi med AI Vård ställa diagnoser Känna igen ansikten Ge oss rätt reklam Roliga spel Finansiella tjänster och lån

Men Kan inte AI själv bestämma vilka etiska regler som gäller? Hur skulle vi kunna verifera det?

http://moralmachine.mit.edu

Bilder från http://moralmachine.mit.edu

Bilder från http://moralmachine.mit.edu

2017 - året då vi kommer att börja använda uppkopplade saker till att lösa viktiga samhällsutmaningar

lisa.kaati@it.uu.se christer.ahlund@ltu.se

Är digitaliseringen säker? Frågor? www.vinnova.se